ABD hükümetinin siber güvenlik dairesi, bilgisayar korsanlarının başka bir kurumsal dosya aktarım yazılımında yeni keşfedilen bir güvenlik açığından yararlandığı konusunda uyardı.
Çarşamba günü CISA katma Citrix ShareFile’da şu şekilde izlenen bir güvenlik açığı: CVE-2023-24489, Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna. Ajans, kusurun “federal işletme için önemli riskler” oluşturduğu konusunda uyardı ve federal sivil yürütme organlarının – CISA dahil – 6 Eylül’e kadar satıcı yamaları uygulamasını zorunlu kıldı.
Citrix ilk olarak bir uyarı Haziran ayında güvenlik açığı hakkında. Güvenlik açığı önem derecesi 10 üzerinden 9,8 olarak verilen kusur, kimliği doğrulanmamış bir saldırganın müşteri tarafından yönetilen Citrix ShareFile depolama bölgeleri denetleyicilerini parola gerektirmeden uzaktan tehlikeye atmasına izin verebilecek uygunsuz bir erişim denetimi hatası olarak tanımlanıyor.
Citrix ShareFile ağırlıklı olarak bulut tabanlı bir dosya aktarım aracı olmakla birlikte, kuruluşların dosyaları şirket içinde veya Amazon S3 ve Windows Azure gibi desteklenen bulut platformlarında depolamasını sağlayan bir “depolama bölgeleri denetleyicisi” aracı da sağlar.
Dylan Pindur’a göre varlık notuGüvenlik açığını ilk keşfeden ve bunun ShareFile’ın AES şifreleme uygulamasındaki küçük hatalardan kaynaklandığı konusunda uyarıda bulunan 6.000 kadar kuruluş, Temmuz ayı itibarıyla örnekleri kamuya açıklamıştı.
Pindur, “Çevrimiçi bir arama, kabaca 1.000-6.000 örneğe internetten erişilebildiğini gösteriyor” dedi. “Hassas verileri depolamak için kullanılan yazılımla birleşen bu popülerlik, herhangi bir şey bulursak oldukça etkili olabileceği anlamına geliyordu.”
Tehdit istihbaratı girişimi GreyNoise, bir “önemli artışCISA, ShareFile güvenlik açığıyla ilgili uyarısını yayınladıktan sonra saldırgan etkinliğinde ”.
Gözlemlenen vahşi saldırıların arkasındaki bilgisayar korsanlarının kimliği henüz bilinmiyor.
Kurumsal dosya aktarım yazılımları, bilgisayar korsanları için popüler bir hedef haline geldi çünkü bu sistemler genellikle çok büyük miktarda yüksek düzeyde hassas veri depolar.
Yalnızca Rusya bağlantılı Clop fidye yazılımı çetesi, Accellion’un MTA’sı, Fortra’nın GoAnywhere MFT’si ve son olarak Progress’in MOVEit Transfer’i dahil olmak üzere en az üç kurumsal aracın hedef alınmasının sorumluluğunu üstlendi.
Siber güvenlik şirketinin son verilerine göre Emsisoft, devam eden MOVEit toplu saldırıları şimdiye kadar 668 mağdur örgütü ele geçirdi ve 46 milyondan fazla kişiyi etkiledi. Daha bu hafta, IBM’in MOVEit bilgisayar korsanlarının kurbanı olmasının ardından dört milyondan fazla Amerikalının hassas tıbbi ve sağlık bilgilerinin çalındığı ortaya çıktı.