Yüzüme vurma: Progress Software, popüler yönetilen dosya aktarım aracı Moveit’te yeni bir kritik güvenlik açığını ortaya çıkardı. Açıklama, binlerce müşteriyi ve milyonlarca netizeni SQL enjeksiyon saldırıları riskiyle karşı karşıya bırakan benzer bir olaydan neredeyse tam bir yıl sonra geldi.
Progress Software Corporation yakın zamanda Moveit’teki yeni bir güvenlik açığı hakkında bir bülten yayınladı. Kurumsal odaklı dosya aktarım uygulaması, siber suçluların kolayca istismar edebileceği kritik bir kusurdan etkileniyor. Progress, müşterilerine yeni bir internet çapında güvenlik felaketinden kaçınmak için yazılımın en son sürümünü yüklemelerini önerdi.
Kusurun (CVE-2024-5806) ciddiyet derecesi 10 üzerinden 9,1’dir. Yazılımın üçüncü taraf bir bileşeni olan Moveit Transfer’in SFTP modülünün içinde yer alıyordu. SSH Dosya Aktarım Protokolü, SCP ve HTTPS ile birlikte Moveit tarafından desteklenen birçok dosya aktarım ve yönetim standardından biridir.
Bu güvenlik açığı, bilgisayar korsanları ve siber suçlular için kullanıcı kimlik doğrulamasını atlatmak ve hassas verilere erişmek için bir vektör sağlıyor. WatchTowr Labs güvenlik analistleri, bilgisayar korsanlarının bu açığı iki senaryoda istismar edebileceğini söyledi.
İlk, en vahşi ve “yıkıcı” saldırı, kötü niyetli kişilerin kimlik doğrulama işlemi sırasında genel şifreleme anahtarı olarak “boş” bir dize kullanmasını gerektirecektir; bu da savunmasız sunucuda mevcut, güvenilir bir kullanıcı olarak başarılı bir şekilde oturum açılmasına yol açabilir.
Progress, MOVEit Transfer’in SFTP mekanizmasındaki (CVE-2024-5806) çok sıkı korunan bir kimlik doğrulama bypassının ambargosunu kaldırdı.
Bir ihbar alacak kadar şanslıydık 🙂 Analizimizin tadını çıkarın, çok eğlendik.https://t.co/GLoCIAki9w
– watchTowr (@watchtowrcyber) 25 Haziran 2024
Diğer senaryo ise saldırganların mevcut kullanıcı parolalarıyla ilgili kriptografik karmaları elde etmesini gerektiriyor. Karmaları kullanarak, “zorunlu kimlik doğrulama” yürütmek için SSH ortak anahtar yollarını değiştirebilirler. Bilgisayar korsanlarının bilgileri kötü niyetli bir oturum açma girişimi için kullanmadan önce bunları kırması gerekir.
Progress, Moveit’in 2023.0, 2023.1 ve 2024.0 sürümlerinin CVE-2024-5806’ya karşı savunmasız olduğunu ve müşterilerin programın en son yamalı sürümüne “hemen” yükseltmeleri gerektiğini söyledi. Şirket ayrıca müşterilere Moveit Transfer sunucularına genel gelen RDP erişimini engellemelerini veya bilinen güvenilir uç noktalara giden erişimi sınırlamalarını tavsiye etti.
AB tarafından finanse edilen Shadowserver Vakfı tarafından sağlanan son taramalar, dünya çapında 1.800’den fazla müşterinin Moveit kullandığını gösteriyor. Kamu bülteninden birkaç saat sonra, bilgisayar korsanları zaten büyük organizasyonları ve kurumsal girişimleri tehlikeye atmak için bu kusurdan yararlanmaya başladılar.
Progress Software’in ciddi bir güvenlik durumuyla karşı karşıya kalması ilk kez değil. Moveit, 2023’te hacker’ların Shell, British Airways, ABD Enerji Bakanlığı ve Ontario’nun hükümet doğum kayıtlarını da içeren 2.300’den fazla kuruluşu tehlikeye atmak için kritik bir güvenlik açığını istismar etmesiyle benzer bir kriz yaşadı.