Saldırganlar birkaç kritik hatanın üstesinden gelmeye çalışıyor gibi görünüyor Progress Software bu hafta açıklandı MOVEit dosya aktarım uygulamasında, şirketin neredeyse tam bir yıl önce açıkladığı sıfır gün kusuruyla neredeyse aynı gaddarlıkla.
Yeni kusurlar için yamalar mevcut olsa da, etkilenen kuruluşlar için şu anda en büyük soru, özellikle yaygın olarak bulunan bir kavram kanıtlama (PoC) istismarıyla, sistemlerini hedef alan rakipleri yenmek için bunları yeterince hızlı uygulayıp uygulayamayacaklarıdır.
Tek Başına Yama Yetersizdir
Güncellemeleri halihazırda uygulamış olanların bile daha çok işi var çünkü Progress’in kusurlardan biri için yayınladığı orijinal yama, yazılım üreticisinin yama yayınlandıktan sonra keşfettiği yeni sorunları gidermiyor.
Yeni MOVEit Transfer güvenlik açıklarının her ikisi de SFTP modülündeki hatalı kimlik doğrulama sorunlarıdır. Saldırganın, etkilenen bir örnekte potansiyel olarak herhangi bir kullanıcının kimliğine bürünmesine ve bunun kontrolünü ele geçirmesine olanak tanır. Kusurlardan biri şu şekilde izlendi: CVE-2024-58062023.0.11’den önceki 2023.0.0, 2023.1.6’dan önceki 2023.1.0 ve 2024.0.2’den önceki 2024.0.0 MOVEit Transfer sürümlerini etkiler. CVE-2024-5805MOVEit Gateway’i etkiler: 2024.0.0.
Progress, CVE-2024-5806’yı ilk olarak 25 Haziran’da ifşa ettiğinde, şirket kusura CVSS ölçeğinde mümkün olan en yüksek 10 üzerinden 7,4’lük orta şiddet puanı verdi. Progress, araştırmacıların WatchTowr üçüncü taraf bir bileşende bir güvenlik açığı keşfetti (IPWorks SSH) MOVEit Transfer’de kullanılır. Progress, sorunun, CVE-2024-5806 yamasını zaten uygulamış olabilecekler de dahil olmak üzere kuruluşlara yeni riskler getirdiğini belirtti.
Orijinal tavsiye belgesine yapılan bir güncellemede Progress, etkilenen kuruluşlara yamayı yüklemelerini ve ayrıca MOVEit Transfer sunucularına genel gelen RDP erişimini engellemelerini ve giden aktarımları yalnızca bilinen ve güvenilir uç noktalarla sınırlamalarını önerdi.
Bir internet taraması 25 Haziran’da gerçekleştirilen Censys Çevrimiçi olarak yaklaşık 2.700 MOVEit Transfer örneği ortaya çıkarıldı, bunların çoğu ABD’de. CVE-2024-5806’yı hedef alan istismar girişimlerini gözlemlediğini bildiren internet tarama kuruluşu ShadowServer neredeyse anında Progress kusuru ifşa ettikten sonra, bazı 1.800 örnek 27 Haziran itibariyle çevrimiçi.
Nispeten Kolayca Sömürülebilir
Censys’in baş güvenlik araştırmacısı Emily Austin, “Güvenlik açığına dair anlayışımıza göre, istismarın olağanüstü derecede zor görünmediğini” söylüyor. Teorik olarak, bir aktörün yama yapılmamış bir MOVEit Transfer örneğini tanımlaması ve hizmete erişim için geçerli bir kullanıcı adı bilmesi gerektiğini söylüyor. Austin, “Geçerli bir kullanıcı adını bilmek bir engel gibi görünse de, watchTowr araştırmacılarının geçerli MOVEit Transfer örneği kullanıcı adlarını numaralandırmak için bir yöntem keşfetmesiyle birleşen küçük bir OSNIT, bunu biraz önemsiz hale getiriyor” diye belirtiyor.
Yeni kusurlar, Progress’in ifşa etmesinden bir yıl sonra ortaya çıktı CVE-2023-343622023’ün en çok istismar edilen kusurlarından biri olarak sıralanan MOVEit Transfer’daki bir SQL enjeksiyonu sıfır günlük güvenlik açığı. Kusuru keşfettiğini iddia eden Cl0p fidye yazılımı grubu, geçen yıl bunu yıkıcı bir şekilde istismar eden birçok grup arasındaydı.
Action1’in başkanı ve kurucu ortağı Mike Walters, etkilenen kuruluşların ne kadar geniş bir şekilde hedef alındıkları göz önüne alındığında gecikmeyi göze alamayacaklarını söylüyor. Walters, “Bu güvenlik açıkları bir saldırganın sunucuyu ele geçirmesine izin verdiği için sonuçları yıkıcı olabilir,” diyor. “9,1’lik bir CVSS puanı ve mevcut bir PoC ile, güvenlik açığının önde gelen APT gruplarının araç setine oldukça hızlı bir şekilde eklenmesi muhtemel.” Son saldırıya uğrayan şirketler bilgi güvenliklerini herhangi bir şekilde artırmamışlarsa, onlar için sonuçların son seferkiyle aynı olabileceği konusunda uyarıyor.
Austin, CVE-2024-5806’nın, Cl0p’nin 2023 boyunca istismar ettiği MOVEit Transfer’deki SQL enjeksiyon hatasından biraz daha karmaşık olduğunu söylüyor. Öyle olsa bile, örnek yöneticilerin yine de yeni kusuru çok ciddiye alması ve Progress Software tarafından sağlanan hafifletme kılavuzlarını takip etmesi gerektiğini söylüyor.
Austin, “MOVEit Transfer örneklerinin kullanım veya yama durumunu görmenin bir yolu yok, ancak 25 Haziran 2024 Salı itibarıyla internete açık 2.700 MOVEit Transfer örneğinin bulunduğunu biliyoruz” diyor. “Bu, geçen yılın bu zamanlarında gözlemlediğimiz MOVEit Transfer risklerinin sayısına çok benziyor ve bu da aracın çeşitli güvenlik sorunlarına rağmen hala yaygın olarak kullanıldığını gösteriyor.”
İyimserliğin Nedeni?
Tehdidin ciddiyetine rağmen, Progress’in bu hafta açıkladığı yeni kusurların, özellikle de CVE-2024-5806’nın, yamalar zaten mevcut olduğundan, geçen yılki SQL enjeksiyon kusuru kadar fazla hasara neden olmayacağına dair hala bazı iyimserlikler var.
SecurityScorecard’ın baş güvenlik analisti Paul Prudhomme, bu zafiyetin istismarının geçen yıl CVE-2023-34362’yi istismar eden büyük kampanya kadar yaygın olmasının şu anda pek olası görünmediğini söylüyor. “Bu sıfır günlük bir zafiyetti ve tehdit aktörlerine bir yama yayınlanmadan önce istismar etmeleri için daha fazla zaman veriyordu,” diyor. “Bu durumda, tehdit aktörlerinin yamalar zaten yayınlandığı için daha az zamanı var; yapabilecekleri en fazla şey, kuruluşların yama yayınlamadaki gecikmelerinden yararlanmak, bu nedenle bu zaman penceresi etkisini en aza indirmek için çok önemli.”
Prudhomme, CVE-2024-5806 gibi güvenlik açıklarına karşı yalnızca yama uygulamasının yeterli olmadığını yineliyor. “Yamayı tehdit istihbaratı ve proaktif risk yönetimiyle birleştiren katmanlı bir güvenlik yaklaşımı çok önemli” diyor. “Kuruluşlar, güvenliğe çok yönlü bir yaklaşıma öncelik vererek gelişen siber tehditlere karşı dayanıklılık oluşturabilir.”
