Horizon3 Güvenlik Araştırmacıları, Veri hırsızlığı saldırılarında klop fidye yazılımı çetesi tarafından istismar edilen Moveit Transfer Yönetilen Dosya Aktarımı (MFT) çözümü için bir Uzak Kod Yürütme (RCE) hatası için Kavram Kanıtı (POC) istismar kodu yayınladı.
Bu kritik kusur (CVE-2023-34362 olarak izlenir), kimlik doğrulanmamış saldırganların, eşleştirilmemiş Moveit sunucularına erişmesini ve keyfi kodları uzaktan yürütmesini sağlayan bir SQL enjeksiyon güvenlik açığıdır.
31 Mayıs'ta, klop fidye yazılımı çetesinin sıfır gün olarak büyük ölçekte sömürülmeye başladıktan günler sonra ilerleme, hatayı yamalamak için güvenlik güncellemelerini yayınladı ve tüm müşterilere sömürü denemelerini engellemek için hemen uygulamalarını tavsiye etti.
Horizon3, Cuma günü kırılganlığın bir kavram kanıtı (POC) sömürüsü ve teknik analizinin yanı sıra ağ savunucularının savunmasız sunucular üzerindeki sömürüyü tespit etmek için kullanabileceği uzlaşma göstergelerinin (IOC'ler) bir listesini yayınladı.
Horizon3 araştırmacıları, "Bu POC, bir SysAdmin API erişim belirteci elde etmek için bir SQL enjeksiyonunu kötüye kullanıyor ve daha sonra bu erişimi uzaktan kod yürütmesini sağlamak için bir seansizasyon çağrısını kötüye kullanmak için kullanıyor."
"Bu POC, keyfi kullanıcı tokenlerini oluşturmak için kullanılan uygun RS256 sertifikalarını barındıran bir kimlik sağlayıcısı uç noktasına ulaşmalıdır - varsayılan olarak bu POC, AWS'de barındırılan IDP uç noktamızı kullanır."
Bu RCE POC istismarının piyasaya sürülmesiyle, daha fazla tehdit aktörleri muhtemelen saldırılara dağıtmak veya internet erişimine maruz kalan herhangi bir açılmamış sunucu hedeflemek için kendi özel sürümlerini oluşturmak için hızla hareket edecekler.
Bununla birlikte, güvenlik açığından yararlanan saldırıların yaygın medya kapsamı göz önüne alındığında, Clop'un hatayı kullanmaya başladığından beri internetteki teminatsız Moveit transfer sunucularının sayısının keskin bir şekilde azalması bekleniyor.
Clop fidye yazılımı çetesi, Bleepingomputer'a gönderilen bir mesajda CVE-2023-34362 Moveit Transferi Zero Day'den yararlanan veri-hırsızlığı saldırılarının sorumluluğunu üstlendi, "yüzlerce şirketi" etkilediği iddia edildi.
Clop ayrıca, bu veri hırsızlığı kampanyasını FIN11 ve TA505 etkinliği ile örtüşen Dantel Tempest Hacking Grubuna bağlayan Microsoft'un saldırılarıyla da bağlantılıydı.
Bir Kroll raporuna göre, kanıtlar Clop'un 2021'den beri yamalı Moveit sıfır günü kırılganlığından yararlanmak için aktif olarak fırsatlar aradığını göstermektedir. Ayrıca, en azından Nisan 2022'den beri tehlikeye atılan Moveit sunucularından veri elde etmek için yöntemler arıyorlar.
Bu saldırıları takiben veri ihlallerini açıklayan kuruluşların listesi, diğerlerinin yanı sıra, EY İngiliz Çokuluslu Çokuluslu, İrlanda Sağlık Hizmet Yöneticisi (HSE) Halk Sağlığı Sistemi, İngiltere merkezli bordro ve İK Solutions Zellis ve bazı müşterileri ( Yani, İngiltere'nin bayrak taşıyıcısı British Airways, İrlanda bayrak taşıyıcısı Aer Lingus ve Minnesota Eğitim Bakanlığı).
Veri hırsızlığı kampanyalarını düzenleme geçmişi ile tanınan bu siber suç grubu, son birkaç yıl içinde birden fazla yönetilen dosya aktarım platformunda güvenlik açıklarını hedeflemiştir.
Dikkate değer örnekler arasında Aralık 2020'de Acccellion FTA sunucularının sıfır gün ihlali, 2021 Solarwinds Serv-U tarafından yönetilen dosya aktarım saldırıları ve Ocak 2023'teki yaygın saldırılarda bir Goanywhere MFT Zero-Day'in sömürülmesi yer alıyor.
Cuma günü, ilerleme, yeni bulunan kritik SQL enjeksiyon güvenlik açıklarının müşterilerini, kimlik doğrulanmamış saldırganların müşterilerin veritabanlarından bilgi çalmasını sağlayan movit aktarımında uyardı ve uyardı.
Clop fidye yazılımı muhtemelen 2021'den beri hareket sıfır gününü test ediyor
Clop Fidye Yazılımı, Moveit Fasar Saldırıları için Sorumluluk İddia ediyor
Microsoft, veri-hırsızlığı saldırılarını taşımak için fidye yazılım çetesini clop clop links
Cisco, kamu istismarı kodu ile kritik anahtar hatalarını uyarıyor
Mevcut tespitleri atlayan yeni Papercut RCE istismar
Kaynak: Bleeping Computer