Progress Software MOVEit Transfer’i etkileyen yeni açıklanan kritik bir güvenlik açığı şimdiden görülüyor vahşi doğada sömürü girişimleri Hatanın ayrıntıları kamuya açıklandıktan kısa bir süre sonra.
CVE-2024-5806 (CVSS puanı: 9.1) olarak takip edilen güvenlik açığı, aşağıdaki sürümleri etkileyen bir kimlik doğrulama atlamasıyla ilgilidir:
- 2023.0.0’dan 2023.0.11’e kadar
- 2023.1.0’dan 2023.1.6’ya kadar ve
- 2024.0.0’dan 2024.0.2’ye kadar
Şirket, “Progress MOVEit Transfer’deki (SFTP modülü) uygun olmayan kimlik doğrulama güvenlik açığı, Kimlik Doğrulamanın Atlanmasına yol açabilir” dedi söz konusu Salı günü yayınlanan bir danışma belgesinde.
İlerleme de var ele alinan MOVEit Gateway sürüm 2024.0.0’ı etkileyen, SFTP ile ilişkili başka bir kritik kimlik doğrulama atlama güvenlik açığı (CVE-2024-5805, CVSS puanı: 9.1).
Kusurların başarılı bir şekilde kullanılması, saldırganların SFTP kimlik doğrulamasını atlamasına ve MOVEit Transfer ve Ağ Geçidi sistemlerine erişim sağlamasına olanak tanıyabilir.
watchTowr Labs o zamandan beri CVE-2024-5806 hakkında ek teknik özellikler yayınladı; güvenlik araştırmacıları Aliz Hammond ve Sina Kheirkhah bunun sunucudaki herhangi bir kullanıcının kimliğine bürünmek için silah haline getirilebileceğini belirtti.
Siber güvenlik şirketi ayrıca kusurun biri Progress MOVEit’te, diğeri IPWorks SSH kütüphanesinde olmak üzere iki ayrı güvenlik açığından oluştuğunu açıkladı.
Araştırmacılar, “Daha yıkıcı bir güvenlik açığı, rastgele kullanıcıların kimliğine bürünme yeteneği MOVEit’e özgü olsa da, daha az etkili (ama yine de çok gerçek) zorunlu kimlik doğrulama güvenlik açığının IPWorks SSH sunucusunu kullanan tüm uygulamaları etkilemesi muhtemeldir.” söz konusu.
Progress Software, üçüncü taraf bileşenindeki eksikliğin yama yapılmaması halinde “orijinal sorunun ortaya çıkma riskini artırdığını” belirterek, müşterilerin aşağıdaki iki adımı takip etmelerini istedi:
- MOVEit Transfer sunucularına genel gelen RDP erişimini engelleyin
- MOVEit Transfer sunucularından giden erişimi yalnızca bilinen güvenilir uç noktalarla sınırlayın
Rapid7’ye göre, üç önkoşul CVE-2024-5806’dan yararlanmak için: Saldırganların mevcut bir kullanıcı adı hakkında bilgi sahibi olması, hedef hesabın kimliğinin uzaktan doğrulanabilmesi ve SFTP hizmetinin internet üzerinden herkese açık olarak erişilebilir olması gerekir.
25 Haziran itibarıyla Censys tarafından toplanan veriler gösteriler Çevrimiçi olarak yaklaşık 2.700 MOVEit Transfer örneğinin bulunduğu, bunların çoğunun ABD, İngiltere, Almanya, Hollanda, Kanada, İsviçre, Avustralya, Fransa, İrlanda ve Danimarka’da bulunduğu belirtiliyor.
MOVEit Transfer’deki bir başka kritik sorunla birlikte geniş çapta istismar Geçen yıl gerçekleşen çok sayıda Cl0p fidye yazılımı saldırısında (CVE-2023-34362, CVSS puanı: 9,8), kullanıcıların en son sürümlere güncelleme yapmak için hızlı hareket etmeleri çok önemli.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), Kimyasal Güvenlik Değerlendirme Aracının (CSAT) bu Ocak ayı başlarında Ivanti Connect Secure (ICS) cihazındaki güvenlik kusurlarından yararlanan bilinmeyen bir tehdit aktörü tarafından hedef alındığını açıklamasıyla ortaya çıktı ( CVE-2023-46805, CVE-2024-21887 ve CVE-2024-21893).
Ajans, “Bu izinsiz giriş, Üst Ekran anketlerine, Güvenlik Açığı Değerlendirmelerine, Site Güvenlik Planlarına, Personel Kefalet Programı (PSP) gönderimlerine ve CSAT kullanıcı hesaplarına yetkisiz erişime yol açmış olabilir” dedi. söz konusuveri sızdırıldığına dair hiçbir kanıt bulunmadığını da sözlerine ekledi.