Progress Software’in geçen hafta WS_FTP Sunucusu dosya aktarım ürününde açıkladığı maksimum önem derecesine sahip bir kusuru hedef alan saldırılar, erken dönemdeki suistimal faaliyetlerinden sonra şu ana kadar bir miktar sınırlı görünüyor.
Ancak saldırganların, Progress’in Mayıs ayında MOVEit dosya aktarım yazılımında bildirdiği benzer kritik sıfır gün kusurunu ne kadar yaygın şekilde kullandığı göz önüne alındığında, kuruluşların bu güvenlik açığını mümkün olan en kısa sürede yamalamayı geciktirmesi için bir neden yok.
Maksimum Önem Derecesi Hatası
CVE-2023-40044, araştırmacıların tek bir HTTPS POST ve bazı belirli çok parçalı verilerle kullanılabileceğini gösterdiği, WS_FTP’deki bir .NET seri durumdan çıkarma güvenlik açığıdır. Progress, 27 Eylül’de hatayı açıkladı ve kuruluşların şirketin güncellemesini mümkün olan en kısa sürede uygulamasını önerdi.
Hata, WS_FTP’nin isteğe bağlı Ad Hoc Transfer modülünde mevcut ve yazılımın desteklenen tüm sürümlerini etkiliyor. Kusurun CVSS ölçeğinde olası maksimum önem puanı 10,0’dır, çünkü kolaylıkla istismar edilebilir ve kimliği doğrulanmamış bir saldırganın WS_FTP Sunucusunun temel işletim sisteminde uzaktan komutlar çalıştırmasına olanak tanır. CVE-2023-40044, Progress’in geçen hafta açıkladığı sekiz güvenlik açığından biriydi.
Erken PoC’ler ve Suistimal Etkinliği
Güvenlik açığına ilişkin kavram kanıtı yararlanma kodu, açıklanmasından kısa bir süre sonra kullanıma sunuldu. Varlık notuProgress’e yönelik güvenlik açığını bildiren şirket ve “MCKSys Arjantin,“Bu yılın başlarında Progress’e sıfır günü bildiren güvenlik araştırmacısı.
PoC’ler, kusuru hedef alan bazı erken istismar faaliyetlerine katkıda bulundu. Örneğin Rapid7 şunu söyledi: gözlemlenen sömürü birden çok müşteri ortamındaki bir veya daha fazla WS_FTP güvenlik açığından. Saldırılar neredeyse eşzamanlı olarak gerçekleşti ve etkilenen bir WS_FTP sunucusunun kitlesel istismarının tüm işaretlerini taşıyordu. Rapid7 ayrıca tüm saldırılarda aynı Burpsuite alanının yer aldığını gördüklerini bildirdi ve saldırıların arkasında muhtemelen tek bir aktörün olduğunu hemen teorileştirdi.
İçinde teknik Analiz 2 Ekim’de Rapid7, CVE-2023-40044’ün ayrıntılı bir tanımını ve araştırmacılarının bu kusurdan nasıl yararlandığını açıkladı. Güvenlik sağlayıcısı, güvenlik açığını saldırganlar için potansiyel olarak “çok yüksek” değere sahip olarak değerlendirdi.
Rapid7 güvenlik açığı araştırması başkanı Caitlin Condon, şirketinin 30 Eylül Cumartesi günü müşteri ortamlarında birden fazla WS_FTP Sunucusu istismarı örneğini gözlemlediğini söyledi. “Gördüğümüz faaliyet olası kitlesel istismarın işaretlerini taşısa da, neyse ki şu ana kadar sınırlı kaldı 30 Eylül’e kadar” diyor. Condon, “Tüm olaylar benzer davranışlar içeriyordu, bu da gördüğümüz faaliyetin arkasında tek bir düşmanın olduğunu gösteriyor olabilir” diye belirtiyor.
Rapid7, saldırıları herhangi bir WS_FTP güvenlik açığıyla ilişkilendiremedi ancak etkinliğin en azından bir kısmının CVE-2023-40044’e atfedilebilir olması muhtemel. Condon, “Rapid7’nin gözlemlediği en az bir durumda, Windows olay günlüğündeki Microsoft IIS hatası, CVE-2023-40044 seri durumdan çıkarma güvenlik açığından yararlanılması beklenen çağrı yığınını gösteriyor” dedi. “CVE-2023-40044 aynı zamanda doğrudan sunucu tarafında kod yürütülmesine neden olma olasılığı en yüksek olan güvenlik açığıdır.” Saldırıların hiçbirinin herhangi bir veri sızıntısıyla sonuçlanmadığını ve tüm olayların kontrol altına alındığını ekliyor.
Sayıca Sınırlı
Huntress Labs ayrıca CVE-2023-40044’ü ve diğer WS_FTP kusurlarını hedef alan bazı saldırıların gözlemlendiğini de bildirdi. Ancak şirketin kıdemli güvenlik araştırmacısı John Hammond’un açıkladığı gibi saldırıların sayısı şu ana kadar sınırlıydı. Hammond, “Huntress, WS_FTP’ye ve CVE-2023-40044 güvenlik açığına yönelik bir düzineden az saldırı gözlemledi” diyor. Saldırılar, “kod yürütmeyi doğrulamak için basit bir nslookup DNS sorgusu, zorunlu indirmeler yoluyla yeni yüklerin hazırlanması ve kalıcılık mekanizmalarının kurulmasına kadar” değişiyordu.
Hammond, Huntress’in gözlemlediği istismar faaliyetinin doğası gereği fırsatçı gibi göründüğünü ve saldırganların hâlâ savunmasız olan herhangi bir WS_FTP sunucusunu yakalayıp yakalayamayacaklarını görmek için geniş bir ağ kurduğunun göstergesi olduğunu söylüyor. “Anekdot olarak, görünürlüğümüz dahilindeki WS_FTP kurulumlarının öncelikle finansal kurumlar ve sağlık hizmeti sağlayıcıları tarafından kullanıldığını fark ettik” diye belirtiyor. Huntress uzlaşmaya dair göstergeler sağladı gözlemlediği aktivite.
Bu arada İnternet izleme firması Censys, İnternet’teki savunmasız WS_FTP sunucuları için yapılan bir araştırmanın, bu sunucuların bulunduğunu gösterdiğini söyledi. önemli ölçüde daha az bunların sayısı başlangıçta varsayıldığından daha fazladır. Firmaya göre, İnternet üzerinden erişilebilen 4.000’den fazla WS_FTP ana bilgisayarı varken, bunlardan yalnızca 325’inde Geçici Aktarım Modülü etkinleştirilmiş gibi görünüyor. Bunlardan yaklaşık 91 ana bilgisayar, 29 Eylül itibariyle hizmeti devre dışı bırakmıştı. Censys, “Potansiyel olarak savunmasız sunucuların sayısı beklenenden çok daha düşük, bu da en kötü haber değil” dedi. Censys, MOVEit güvenlik açığına maruz kalan ve halen birkaç bin örneğinin çevrimiçi olduğu sistemlerle karşılaştırıldığında, WS_FTP çalıştıran nispeten daha az sayıda ana bilgisayarın bulunduğunu söyledi.
Progress, e-postayla gönderilen bir açıklamada, üçüncü tarafların geçen hafta açıklanan güvenlik açıklarına yönelik PoC’leri ne kadar hızlı yayınladığından duyduğu hayal kırıklığını dile getirdi. Açıklamada, “Bu, tehdit aktörlerine, müşterilerimizin çoğu hâlâ yamayı uygulama aşamasındayken güvenlik açıklarından nasıl yararlanacakları konusunda bir yol haritası sağladı” denildi. “Bu güvenlik açıklarının bu sürümden önce istismar edildiğine dair herhangi bir kanıtın farkında değiliz.”