Progress Software, MOVEit Transfer uygulamasında yaygın olarak kullanılan bir sıfır gün güvenlik açığını yamaladıktan sadece birkaç gün sonra, şirket, bir güvenlik satıcısının bu hafta bir kod incelemesi sırasında ortaya çıkardığı ek SQL Injection güvenlik açıklarını gidermek için ikinci bir yama yayınladı.
Güvenlik açıkları tüm MOVEit Transfer sürümlerinde mevcuttur ve kimliği doğrulanmamış bir saldırganın MOVEit Transfer veritabanına erişmesine ve içindeki verileri değiştirmesine veya çalmasına izin verebilir. Yeni kusurlara henüz bir CVE atanmadı, ancak yakında bir tane alacak.
Progress, “Soruşturma devam ediyor, ancak şu anda bu yeni keşfedilen güvenlik açıklarının kötüye kullanıldığına dair göstergeler görmedik” dedi.
9 Haziran tarihli bir danışma belgesinde Progress, tehdit aktörlerinin daha fazla saldırıda kusurlardan yararlanma potansiyeline atıfta bulunarak müşterileri yeni yamayı hemen yüklemeye çağırdı. “Bu yeni keşfedilen güvenlik açıkları, 31 Mayıs 2023’te paylaşılan daha önce bildirilen güvenlik açığından farklıdır.” İlerleme dedi. “Tüm MOVEit Transfer müşterileri aşağıdakileri uygulamalıdır: yeni yama, 9 Haziran 2023’te yayınlandı.”
Progress, Huntress’i bir kod incelemesinin parçası olarak güvenlik açıklarını keşfeden biri olarak tanımladı.
İstismarlar Devam Ederken Ek SQL Güvenlik Açığı
Progress Software’in yeni yaması, Cl0p fidye yazılımı grubunun MOVEit Transfer’deki ayrı bir sıfır gün açığından (CVE-2023-34362) geniş çapta yararlandığına dair raporların ortasında geliyor. Tehdit grubu açığı yaklaşık iki yıl önce keşfetti ve dünya çapında binlerce kuruluştan veri çalmak için bundan yararlanıyor. Bilinen kurbanlar arasında BBC, British Airways ve Nova Scotia hükümeti yer alıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşları potansiyel tehlikelere karşı uyardı. yaygın etki ileriye gidiyor.
Huntress araştırmacıları, MOVEit Transfer uygulamasını analiz ederken güvenlik açıklarını keşfetti. Daha önce, Cl0p tehdit aktörlerinin dünya çapındaki şantaj kampanyasında güvenlik açığından nasıl yararlandığına dair ayrıntılı bir analiz sunmuşlardı.
Bir Huntress sözcüsü, “Huntress, orijinal istismarı konsept kanıtı olarak yeniden oluşturmamızın ve ilk yamanın etkinliğini değerlendirmemizin ardından farklı saldırı vektörlerini ortaya çıkardı” dedi. “Bunlar, ilk yamada ele alınmayan belirgin kusurlar ve bunları, bu ikincil yama sürümünü teşvik ederek İlerleme ekibine sorumlu bir şekilde ifşa ettik.”
Şu anda Huntress, bu yeni CVE’yi çevreleyen herhangi bir yeni istismar gözlemlemedi, diye ekliyor – ancak bu hızla değişebilir.
Ek Dosya Aktarımı CVE: Şimdi Yama Yapın
Progress’e göre, 31 Mayıs 2023 tarihli orijinal sıfır gün hatası için şirketin yamasını zaten uygulamış olan kuruluşlar, yeni güvenlik açıkları için yamayı kendi kılavuzunda belirtildiği gibi hemen uygulayabilir. iyileştirme tavsiyesi. Henüz ilk kusura karşı yama uygulamamış olan kuruluşlar bunun yerine alternatif iyileştirme ve yama uygulama adımlarını takip etmelidir. İlerleme özetlendi.
İlerleme, MOVEit Cloud’u en son güncellemeyle de otomatik olarak yamaladı, ancak “müşterilerimizin beklenmedik veya olağandışı dosya indirme belirtileri için denetim günlüklerini incelemelerini ve sistem koruma yazılımı günlüklerimizle birlikte erişim günlüklerini ve sistem günlüklerini incelemeye devam etmelerini öneririz. “