05 Haziran 2023Ravie LakshmananSıfır Gün / Siber Saldırı

Microsoft, Progress Software MOVEit Transfer uygulamasındaki kritik bir kusurun devam eden aktif istismarını, takip ettiği bir tehdit aktörüne resmi olarak bağladı. Dantel Fırtınası.

Microsoft Tehdit İstihbaratı ekibi, “Sömürüyü genellikle veri hırsızlığı özelliklerine sahip bir web kabuğunun konuşlandırılması takip eder.” söz konusu bugün bir dizi tweet’te. “CVE-2023-34362, saldırganların herhangi bir kullanıcı olarak kimlik doğrulaması yapmasına olanak tanır.”

Storm-0950 olarak da adlandırılan Lace Tempest, FIN11, TA505 ve Evil Corp gibi diğer gruplarla örtüşen bir fidye yazılımı üyesidir. Ayrıca Cl0p gasp sitesini işlettiği de bilinmektedir.

Tehdit aktörünün ayrıca, verileri sifonlamak ve kurbanları gasp etmek için farklı sıfır gün kusurlarından yararlanma konusunda bir geçmişi var ve grubun yakın zamanda PaperCut sunucularında ciddi bir hatayı silah haline getirdiğini gözlemledi.

CVE-2023-34362, MOVEit Transfer’de kimliği doğrulanmamış, uzaktaki saldırganların veritabanına erişim kazanmasına ve rasgele kod yürütmesine olanak tanıyan bir SQL enjeksiyon güvenlik açığı ile ilgilidir.

Saldırı yüzeyi yönetim şirketi Censys’in verilerine göre, MOVEit Transfer hizmetini kullanan en az 3.000’den fazla ana bilgisayarın açığa çıktığına inanılıyor.

YAKLAŞAN WEBİNAR

🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak

API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!

Oturuma Katılın

Etkinliği UNC4857 takma adı altında izleyen ve LEMURLOOT web kabuğunu etiketleyen Google’a ait Mandiant, FIN11 ile geniş taktiksel bağlantılar belirlediğini söyledi.

ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), geçen hafta açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumlara 23 Haziran 2023’e kadar satıcı tarafından sağlanan yamaları uygulamalarını tavsiye etti.

Geliştirme, Aralık 2020’de Accellion FTA sunucularının ve Ocak 2023’te GoAnywhere MFT’nin benzer sıfır gün toplu istismarını takip ediyor ve kullanıcıların potansiyel risklere karşı güvenlik sağlamak için yamaları mümkün olan en kısa sürede uygulamalarını zorunlu kılıyor.





siber-2