Progress Software’in MOVEit Transfer’deki yönetilen dosya aktarımı uygulamasındaki kritik bir kusur, savunmasız sistemleri devralmak için vahşi ortamda yaygın bir şekilde sömürülmeye başlandı.
Henüz bir CVE tanımlayıcısı atanmamış olan eksiklik, yükseltilmiş ayrıcalıklara ve ortama olası yetkisiz erişime yol açabilecek ciddi bir SQL enjeksiyon güvenlik açığı ile ilgilidir.
Şirket, “MOVEit Transfer web uygulamasında, kimliği doğrulanmamış bir saldırganın MOVEit Transfer’in veritabanına yetkisiz erişim elde etmesine izin verebilecek bir SQL enjeksiyon güvenlik açığı bulundu.” söz konusu.
“Kullanılan veritabanı motoruna (MySQL, Microsoft SQL Server veya Azure SQL) bağlı olarak, bir saldırgan, veritabanı öğelerini değiştiren veya silen SQL deyimlerini yürütmenin yanı sıra veritabanının yapısı ve içeriği hakkında bilgi çıkarabilir.”
Hata için yamalar, Telerik’in de sahibi olan Massachusetts merkezli şirket tarafından şu sürümlerde kullanıma sunuldu: 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4) ), 2022.1.5 (14.1.5) ve 2023.0.1 (15.0.1).
Gelişme ilk olarak tarafından bildirildi. Uyku Bilgisayarı. Buna göre Avcı Ve hızlı731 Mayıs 2023 itibariyle, çoğunluğu ABD’de bulunan yaklaşık 2.500 MOVEit Transfer örneği halka açık internete maruz kaldı.
Başarılı istismar girişimleri, “yerel MOVEit hizmeti tarafından depolanan çeşitli verileri sızdırmak” için rastgele dosya adına sahip komut dosyası aracılığıyla oluşturulan “wwwroot” dizinindeki “human2.aspx” adlı bir web kabuğunun konuşlandırılmasıyla sonuçlanır.
Web kabuğu ayrıca, büyük olasılıkla algılamadan kaçınmak için “Sağlık Denetimi Hizmeti” adıyla yeni yönetici kullanıcı hesabı oturumları eklemek üzere tasarlanmıştır. analiz arasında saldırı zinciri ortaya çıkardı.
Tehdit istihbaratı şirketi GreyNoise söz konusu “3 Mart 2023 gibi erken bir tarihte /human.aspx adresinde bulunan MOVEit Transfer oturum açma sayfası için tarama etkinliği gözlemledi” ve MOVEit kurulumlarının konumunu keşfetmeye çalışan beş farklı IP adresi eklenerek “tespit edildi.”
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “MOVEit’i içeren sıfır gün saldırılarının ardındaki grubun ayrıntılarını bilmesek de, bu durum dosya aktarım çözümlerini hedef alan tehdit aktörlerinin endişe verici eğiliminin altını çiziyor” dedi.
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatını (CISA) harekete geçirdi. uyarı vermekkullanıcıları ve kuruluşları herhangi bir kötü amaçlı etkinliğe karşı güvenlik sağlamak için hafifletme adımlarını izlemeye teşvik ediyor.
Ayrıca, gelen ve giden trafiği engelleyerek sunucuları izole etmeniz ve ortamları olası güvenlik ihlali göstergeleri (IoC’ler) açısından incelemeniz ve varsa, düzeltmeleri uygulamadan önce bunları silmeniz önerilir.
Güvenlik araştırmacısı Kevin Beaumont, “Yine bir fidye yazılımı grubu olduğu ortaya çıkarsa, bu, bir yıl içinde sıfır günlük ikinci kurumsal MFT olacak, cl0p yakın zamanda GoAnywhere ile çıldırdı,” dedi. söz konusu.
