Yakın zamanda saldırıya uğrayan MOVEit dosya aktarım yazılımının arkasındaki şirket olan Progress Software, saldırganlar tarafından istismar edilen iki kritik güvenlik açığı için daha düzeltmeler yayınladı.
bir danışma Geçtiğimiz hafta yayınlanan Progress, kurumsal kullanıma yönelik WS_FTP dosya aktarım yazılımını etkileyen çok sayıda güvenlik açığı konusunda uyardı. iddialar dünya çapında binlerce BT ekibi tarafından “kritik verilerin güvenilir ve güvenli aktarımı” için kullanılıyor.
WS_FTP güvenlik açıklarından ikisinin kritik olduğu belirlendi. Maksimum güvenlik açığı ciddiyet derecesi 10,0 olarak verilen ilki, CVE-2023-40044, bir saldırganın temeldeki işletim sistemi üzerinde uzaktan komutlar yürütmesine izin verebilecek bir .NET seri durumdan çıkarma kusuru olarak tanımlanıyor. CVE-2023-42657 olarak izlenen ikincisi, bir saldırganın yetkili WS_FTP klasör yolu dışında dosya işlemleri gerçekleştirmesine olanak tanıyan bir dizin geçiş güvenlik açığıdır.
Bu güvenlik açıklarının her ikisi de zaten bilgisayar korsanları tarafından istismar ediliyor. binaen Siber güvenlik şirketi Rapid7’ye. Rapid7 güvenlik açığı araştırması başkanı Caitlin Condon, TechCrunch’a şirketin 30 Eylül’de WS_FTP Sunucusunun kullanılmasından kaynaklanan ve teknoloji ve sağlık hizmetleri de dahil olmak üzere birçok sektörü etkileyen “az sayıda olay” gözlemlediğini söyledi. Condon, yürütme zincirinin gözlemlenen tüm örneklerde aynı göründüğünü, bunun da “savunmasız WS_FTP sunucularının kitlesel istismarının olası olduğunu” gösterdiğini söyledi.
Condon, TechCrunch’a şunları söyledi: “Tüm olaylarda benzer saldırgan davranışları gördük; bu, etkinliğin arkasında tek bir düşmanın olduğunu gösteriyor olabilir.” “Ancak, tek bir tehdit aktörünün bu yıl dosya aktarım çözümlerini hedeflerken çok büyük hasara yol açtığını gördüğümüz için, kuruluşları temkinli davranmamaları konusunda uyarıyoruz.”
Bu saldırıların arkasında kimin olduğu veya kaç WS_FTP müşterisinin bu istismardan etkilendiği henüz bilinmiyor. Progress Software, TechCrunch’ın sorularına yanıt vermedi.
WS_FTP güvenlik açıklarını ilk keşfeden güvenlik şirketi Assetnote şunları söyledi: 2.900 ana bilgisayar var İnternette WS_FTP çalıştıran ve web sunucuları açıkta olan. Şirket, “Bu çevrimiçi varlıkların çoğu büyük şirketlere, hükümetlere ve eğitim kurumlarına ait” dedi.
Progress Software, güvenlik açıklarına yönelik bir yama yayınladı ve müşterilerin düzeltmeleri acilen uygulamalarına çağrıda bulunuyor. Rapid7 paylaştı uzlaşma göstergeleri İşletme savunucuları, kuruluşlarının saldırıya uğrayıp uğramadığını tespit etmek için arayabilirler.
Saldırganların Progress Software’in WS_FTP yazılımındaki güvenlik açıklarından yararlandığına dair haberler, şirketin MOVEit Transfer platformundaki sıfır gün kusurunu kullanan toplu saldırıların ardından gelen sorunlarla boğuşmaya devam ettiği bir dönemde geliyor. 27 Mayıs’ta başlayan bu saldırılar, Clop fidye yazılımı grubu tarafından üstlenildi ve etkilenen kuruluşların sayısı 2.100’ü aştı, ancak etkilenenlerin gerçek sayısı muhtemelen çok daha yüksek.