Progress Software, ShareFile kullanıcılarına Storage Zone Controller’larında çalışan Windows sunucularını kapatmalarını bildirdi. Şirket, “krediable dış güvenlik tehdidi” ile başa çıkmak için gerekli adımları attığını duyurdu.
Saldırı Nasıl Çalışıyor?
Progress, etkilenen hesaplara geçici olarak erişimi devre dışı bıraktı. Bu karar, şirketin iç ve dış güvenlik uzmanlarıyla çalışırken aldığı “cortah tedbir” olarak açıklandı. Şirket, herhangi bir ShareFile hesabına veya verisine yetkisiz erişim olduğuna dair bir işaret olmadığını belirtse de, tehlikenin ne olduğunu veya arkasında kimin olduğunu açıklamadı.
Bu durum, bir müşterinin şirketin e-postasını Reddit platformunun r/sysadmin sayfasında paylaşmasıyla kamuoyuna yansıdı. Progress, durumla ilgili bilgileri durum sayfasında güncelleyerek, Storage Zone Controller kullanıcılarını “işlevsel değil” olarak listeledi.
Etkilenen Sistemler
Bu saldırı, sadece Storage Zone Controller’ı etkilemektedir; standart bulut tabanlı ShareFile hesapları etkilenmemiştir. Controller, bir şirketin kendi verilerini depolayabildiği ancak ShareFile’in bulutunu kullanarak dosyalarını paylaşabildiği bir sunucudur. Ancak, controller genellikle ağın kenarında yer alır ve internete erişilebilirlik, onu hem faydalı hem de hedef haline getirir. Kullanıcıların tamamen çevrimdışı bırakılması isteği, durumu ciddiyetle karşılamalarını gerektiren bir adım olarak görülebilir.
Çözüm ve Korunma
Güvenlik tehditlerine karşı alınacak önlemler şunlardır:
- Öncelikle, kapatma talimatına uyun. Etkilenen controller’ları, Progress güvenliği hakkında bilgi verene kadar çevrimdışı tutun.
- Sürümünüzün güncel olduğunu doğrulayın: 5.x serisinde 5.12.4 veya daha üstü ya da 6.x sürümüne sahip olmalısınız. Bu, önceki yılı düzeltmiş olsa da, mevcut tehdidin giderildiği garanti edilmediği için bu, yeniden başlamak için bir izin olarak düşünülmemelidir.
- Internet üzerinden ulaşılabilen bir controller varsa, bunu olası bir olay olarak yönetin. Logları saklayın ve olay yanıt sürecinizi başlatın; ayrıca, web klasörlerinde ve kurmadığınız depolama yollarında tanımadığınız .aspx dosyalarını kontrol edin. Temiz görünen bir sunucu, temizlik anlamına gelmez.
2023 yılında, Citrix döneminde, ShareFile aynı Storage Zone Controller üzerinde kimlik doğrulamayan bir zafiyetin kurbanı olmuştu (CVE-2023-24489). CISA, durumu aktif olarak sömürülen bir zafiyet olarak işaretledi ve Citrix, yamanmamış controller’ları ShareFile bulutundan kesmişti.
Progress, 2024 yılında ShareFile’i satın almış ve daha önce Clop grubunun 2023’taki sıfır-gün açığını saldırısıyla karşılaşmıştı. Storage Zone Controller, WatchTowr tarafından Nisan ayında açıklanan iki kritik açığa sahipydi, ancak şirket mevcut tehdit ile bunlar arasında bir bağlantı kurmamıştır.
Sonuç olarak, Progress bu sistemleri çevrimdışı bırakmışken dış uzmanlarla çalışıyor, ancak tehditin niteliği ve müşteri sistemlerinin güvenli bir şekilde yeniden çevrimiçi alınabileceği tarih henüz açıklanmamıştır. Kullanıcıların dikkatli olmaları ve acil önlemleri almaları önemlidir.


