Kritik MOVEit kusurunun kitlesel istismarı, irili ufaklı tüm kuruluşları yağmalıyor
Getty Resimleri
Büyük ve küçük kuruluşlar, yaygın olarak kullanılan bir dosya aktarım programında kritik bir güvenlik açığından toplu olarak yararlanmanın tuzağına düşüyor. Sömürü Anma Günü tatilinde başladı – kritik güvenlik açığı hala sıfır günken – ve şimdi, yaklaşık dokuz gün sonra devam ediyor.
Pazartesi akşamı itibariyle, maaş bordrosu hizmeti Zellis, Kanada’nın Nova Scotia eyaleti, British Airways, BBC ve Birleşik Krallık perakendecisi Boots’un, yakın zamanda MOVEit’te yamalanan bir güvenlik açığından beslenen saldırılar yoluyla verilerinin çalındığı biliniyordu. hem bulut hem de şirket içi hizmetler sunan dosya aktarım sağlayıcısı. Hem Nova Scotia hem de Zellis’in kendi örnekleri veya bulut hizmetleri ihlal edildi. British Airways, BBC ve Boots, Zellis’in müşterileriydi. Bilgisayar korsanlığı faaliyetinin tamamı, Rusça konuşan Clop suç örgütüne atfedildi.
Yaygın ve oldukça önemli
Nispeten az sayıda onaylanmış ihlale rağmen, devam eden saldırıları izleyen araştırmacılar, istismarı yaygın olarak tanımlıyor. Hack’leri, bir camın kırıldığı ve hırsızların alabildikleri her şeyi aldıkları parçala-kapma soygunlarına benzetiyorlar ve hızlı hareket eden soygunların bankaları, devlet kurumlarını ve diğer hedefleri ürkütücü derecede yüksek rakamlarda vurduğu konusunda uyarıyorlar.
Güvenlik şirketi Volexity’nin başkanı Steven Adair bir e-postada, “MOVEit Transfer’i internete açık olarak çalıştıran bir avuç müşterimiz var ve bunların tümü ele geçirildi,” diye yazdı. “Konuştuğumuz diğer insanlar da benzer şeyler gördü.”
Adair şöyle devam etti:
Bu noktada müşterilerimizi kategorize etmek istemiyorum çünkü yazılımı kimin çalıştırdığı ve onları dağıttığı konusunda orada ne olduğunu bilmiyorum. Bununla birlikte, hem büyük hem de küçük kuruluşlar vuruldu. İncelediğimiz vakaların tümü, bir dereceye kadar veri hırsızlığı içeriyordu. Saldırganlar, MOVEit sunucularından dosyaları istismar ve kabuğa erişimden iki saatten kısa bir süre sonra ele geçirdi. Bunun muhtemelen yaygın olduğuna ve İnternet’e yönelik web hizmetlerini çalıştıran oldukça önemli sayıda MOVEit Transfer sunucusunun güvenliğinin ihlal edildiğine inanıyoruz.
Güvenlik firması Rapid7’nin araştırma kolunu yöneten üst düzey güvenlik araştırması yöneticisi Caitlin Condon, ekibinin normalde “çok sayıda saldırgan, birçok hedef” içeren olaylar için “yaygın tehdit” terimini saklı tuttuğunu söyledi. Sürmekte olan saldırıların hiçbiri yok. Şimdiye kadar bilinen tek bir saldırgan var: En üretken ve aktif fidye yazılımı aktörleri arasında yer alan, Rusça konuşan bir grup olan Clop. Saldırılar başladığında Shodan arama motorunun yalnızca 2.510 İnternet bağlantılı MOVEit örneğini dizine eklemesiyle, göreceli olarak “çok fazla hedef” olmadığını söylemek doğru olur.
Ancak bu durumda Rapid7 bir istisna yapıyor.
“Burada emtia tehdit aktörleri veya düşük vasıflı saldırganların açıklardan yararlandığını görmüyoruz, ancak çok çeşitli kuruluş boyutları, sektörler ve coğrafi konumlarda küresel olarak mevcut yüksek değerli hedeflerin kötüye kullanılması, bunu sınıflandırma konusunda bizim için ölçek hakkında ipuçları veriyor. yaygın bir tehdit olarak, ”diye açıkladı bir metin mesajında.
Olayın geniş çapta bilinmesinden bu yana Pazartesi günü yalnızca üçüncü iş günü olduğunu ve birçok kurbanın tehlikeye atıldığını ancak şimdi öğreniyor olabileceğini kaydetti. “Zaman geçtikçe, özellikle raporlama için düzenleyici gereklilikler devreye girdikçe, daha uzun bir kurban listesinin çıkmasını bekliyoruz” diye yazdı.
Bu arada bağımsız araştırmacı Kevin Beaumont, söz konusu Pazar gecesi sosyal medyada: “Bunu takip ediyorum – verileri çalınan çift haneli sayıda kuruluş var, buna birden fazla ABD Hükümeti ve bankacılık kuruluşu da dahildir.”
MOVEit güvenlik açığı, en eski ve en yaygın istismar sınıflarından biri olan SQL enjeksiyonuna izin veren bir güvenlik açığından kaynaklanmaktadır. Genellikle SQLi olarak kısaltılan bu güvenlik açıkları, genellikle bir Web uygulamasının, bir uygulamanın komut olarak kabul edebileceği arama sorgularını ve diğer kullanıcı girdilerini yeterince temizleyememesinden kaynaklanır. Saldırganlar, savunmasız web sitesi alanlarına özel hazırlanmış dizeler girerek, bir Web uygulamasını kandırarak gizli verileri döndürmesini, yönetimsel sistem ayrıcalıklarını vermesini veya uygulamanın çalışma şeklini değiştirmesini sağlayabilir.
Zaman çizelgesi
Güvenlik firması Mandiant tarafından Pazartesi günü yayınlanan bir gönderiye göre, Clop istismar çılgınlığının ilk işaretleri 27 Mayıs’ta ortaya çıktı. Araştırmacılar, bazı durumlarda veri hırsızlığının LemurLoot olarak izlenen özel bir web kabuğunun yüklenmesinden sonraki dakikalar içinde gerçekleştiğini söyledi. Eklediler:
Mandiant, kurbanların MOVEit aktarım sistemlerinden büyük hacimli dosyaların çalındığı birçok vakanın farkındadır. LEMURLOOT, MOVEit Transfer uygulama ayarlarından kimlik bilgileri de dahil olmak üzere Azure Depolama Blobu bilgilerini de çalabilir; bu, bu güvenlik açığından yararlanan aktörlerin, hırsızlık olup olmadığı net olmasa da, kurbanların cihaz verilerini Azure Blob depolamada depoladığı durumlarda Azure’dan dosya çalıyor olabileceğini düşündürür. bu şekilde saklanan verilerle sınırlıdır.
Web kabuğu, MOVEit Transfer hizmetinin meşru bir bileşeni olan human.aspx kılığına girmek için “human2.aspx” ve “human2.aspx.lnk” gibi dosya adlarıyla gizlenmiştir. Mandiant ayrıca, “LEMURLOOT web kabuğuyla etkileşimden önce meşru guestaccess.aspx dosyasına yapılan birkaç POST isteğini gözlemlediğini ve SQLi saldırılarının bu dosyaya yönelik olduğunu gösterdiğini” söyledi.
İlk saldırıların başlamasından dört gün sonra, 31 Mayıs’ta MOVEit sağlayıcısı Progress güvenlik açığını düzeltti. Bir gün içinde, güvenlik açığından savunmasız sunucuların kök dizinine human2.aspx adlı bir dosya yükleyen bir tehdit aktörü tarafından yararlanıldığını bildiren sosyal medya gönderileri ortaya çıktı. Güvenlik firmaları kısa sürede raporları doğruladı.
Saldırıların arkasında Clop’un olduğuna dair resmi atıf, Pazar günü Microsoft’tan geldi. bağlı Şirket araştırmacılarının Clop fidye yazılımı grubu için şantaj web sitesini koruyan bir fidye yazılımı operasyonunu izlemek için kullandıkları ad olan “Lace Tempest”e yapılan saldırılar. Bu arada Mandiant, saldırıda kullanılan taktiklerin, tekniklerin ve prosedürlerin, geçmişte Clop fidye yazılımı dağıtan FIN11 olarak izlenen bir grubunkilerle eşleştiğini buldu.
Clop, GoAnywhere olarak bilinen farklı bir dosya aktarım hizmetindeki kritik bir güvenlik açığı olan CVE-2023-0669’dan toplu olarak yararlanan aynı tehdit aktörüdür. Bu bilgisayar korsanlığı çılgınlığı, Clop’un veri güvenliği şirketi Rubrik’i devirmesine, en büyük hastane zincirlerinden birinden bir milyon hastanın sağlık bilgilerini almasına ve (Bleeping Computer’a göre) 130 kuruluşu hackleme sorumluluğunu almasına olanak sağladı. Güvenlik firması Huntress tarafından yapılan araştırma, CVE-2023-0669’dan yararlanan izinsiz girişlerde kullanılan kötü amaçlı yazılımın Clop ile dolaylı bağları olduğunu da doğruladı.
Şimdiye kadar, kurbanların fidye talepleri aldığına dair bilinen bir rapor yok. Clop şantaj sitesi de şu ana kadar saldırılardan bahsetmedi. Mandiant’tan araştırmacılar, “Bu operasyonun amacı gasp ise,” diye yazdı, “kurban örgütlerinin önümüzdeki günlerde veya haftalarda gasp e-postaları alabileceğini tahmin ediyoruz.”
