MOVEit Transfer uygulamasının arkasındaki şirket olan Progress Software, dosya aktarım çözümünü etkileyen ve hassas bilgilerin çalınmasına neden olabilecek yepyeni SQL enjeksiyon güvenlik açıklarını gidermek için yamalar yayınladı.
Şirket, “MOVEit Transfer web uygulamasında, kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına yetkisiz erişim elde etmesine izin verebilecek birden fazla SQL enjeksiyon güvenlik açığı belirlendi.” söz konusu 9 Haziran 2023’te yayınlanan bir danışma belgesinde.
“Bir saldırgan, MOVEit Transfer uygulaması uç noktasına hazırlanmış bir yük gönderebilir ve bu da MOVEit veritabanı içeriğinin değiştirilmesine ve ifşa edilmesine neden olabilir.”
Hizmetin tüm sürümlerini etkileyen kusurlar, MOVEit Transfer 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1) sürümlerinde ele alınmıştır. .6) ve 2023.0.2 (15.0.2). Tüm MOVEit Bulut örnekleri tamamen yamalandı.
Siber güvenlik firması Huntress, alacaklı bir kod incelemesinin parçası olarak güvenlik açıklarını keşfetme ve raporlama ile. Progress Software, yeni keşfedilen kusurların vahşi ortamda istismar edildiğine dair göstergeler gözlemlemediğini söyledi.
Geliştirme, daha önce bildirilen MOVEit Transfer güvenlik açığının (CVE-2023-34362) hedeflenen sistemlere web kabukları bırakmak için yoğun bir şekilde istismar edilmesiyle ortaya çıktı.
Faaliyet, Aralık 2020’den bu yana çeşitli yönetilen dosya aktarım platformlarında veri hırsızlığı kampanyaları düzenleme ve sıfır gün hatalarından yararlanma konusunda bir geçmişe sahip olan kötü şöhretli Cl0p fidye yazılımı çetesine atfedildi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Kurumsal araştırma ve risk danışmanlığı şirketi Kroll ayrıca, siber suç çetesinin Temmuz 2021’e kadar CVE-2023-34362’den yararlanmanın yollarını denediğini ve en az Nisan 2022’den beri güvenliği ihlal edilmiş MOVEit sunucularından veri çıkarmak için yöntemler geliştirdiğine dair kanıtlar buldu. .
Nisan 2022’de birden fazla kuruluşu araştırmak ve bilgi toplamak için otomatik bir mekanizmaya geçmeden önce, Temmuz 2021’deki kötü niyetli keşif ve test faaliyetlerinin çoğunun doğası gereği manuel olduğu söyleniyor.
Şirket, “Görünüşe göre Clop tehdit aktörleri, GoAnywhere olayı sırasında MOVEit Transfer istismarını tamamlamış ve saldırıları paralel yerine sırayla gerçekleştirmeyi seçmiş” dedi. “Bu bulgular, muhtemelen kitlesel sömürü olaylarından önce gelen önemli planlama ve hazırlığın altını çiziyor.”
Cl0p aktörleri ayrıca, etkilenen şirketlere 14 Haziran 2023’e kadar grupla iletişime geçmeye veya çalınan bilgilerini veri sızıntısı sitesinde yayınlamaya çağıran bir haraç bildirimi yayınladı.