Maksimum Önem Derecesindeki WS_FTP Hatasına Yönelik Saldırılar Şu ana Kadar Sınırlıdır - Dünyadan Güncel Teknoloji Haberleri

Maksimum Önem Derecesindeki WS_FTP Hatasına Yönelik Saldırılar Şu ana Kadar Sınırlıdır - Dünyadan Güncel Teknoloji Haberleri

PoC’ler, kusuru hedef alan bazı erken istismar faaliyetlerine katkıda bulundu Censys, MOVEit güvenlik açığına maruz kalan ve halen birkaç bin örneğinin çevrimiçi olduğu sistemlerle karşılaştırıldığında, WS_FTP çalıştıran nispeten daha az sayıda ana bilgisayarın bulunduğunu söyledi önemli ölçüde daha az bunların sayısı başlangıçta varsayıldığından daha fazladır Açıklamada, “Bu, tehdit aktörlerine, müşterilerimizin çoğu hâlâ yamayı uygulama aşamasındayken güvenlik açıklarından nasıl yararlanacakları konusunda bir yol haritası sağladı” denildi

Progress, e-postayla gönderilen bir açıklamada, üçüncü tarafların geçen hafta açıklanan güvenlik açıklarına yönelik PoC’leri ne kadar hızlı yayınladığından duyduğu hayal kırıklığını dile getirdi

Maksimum Önem Derecesi Hatası

CVE-2023-40044, araştırmacıların tek bir HTTPS POST ve bazı belirli çok parçalı verilerle kullanılabileceğini gösterdiği, WS_FTP’deki bir ” Saldırıların hiçbirinin herhangi bir veri sızıntısıyla sonuçlanmadığını ve tüm olayların kontrol altına alındığını ekliyor Rapid7 ayrıca tüm saldırılarda aynı Burpsuite alanının yer aldığını gördüklerini bildirdi ve saldırıların arkasında muhtemelen tek bir aktörün olduğunu hemen teorileştirdi “CVE-2023-40044 aynı zamanda doğrudan sunucu tarafında kod yürütülmesine neden olma olasılığı en yüksek olan güvenlik açığıdır

İçinde teknik Analiz 2 Ekim’de Rapid7, CVE-2023-40044’ün ayrıntılı bir tanımını ve araştırmacılarının bu kusurdan nasıl yararlandığını açıkladı Huntress uzlaşmaya dair göstergeler sağladı gözlemlediği aktivite Condon, “Rapid7’nin gözlemlediği en az bir durumda, Windows olay günlüğündeki Microsoft IIS hatası, CVE-2023-40044 seri durumdan çıkarma güvenlik açığından yararlanılması beklenen çağrı yığınını gösteriyor” dedi “Gördüğümüz faaliyet olası kitlesel istismarın işaretlerini taşısa da, neyse ki şu ana kadar sınırlı kaldı 30 Eylül’e kadar” diyor

Rapid7, saldırıları herhangi bir WS_FTP güvenlik açığıyla ilişkilendiremedi ancak etkinliğin en azından bir kısmının CVE-2023-40044’e atfedilebilir olması muhtemel

Hammond, Huntress’in gözlemlediği istismar faaliyetinin doğası gereği fırsatçı gibi göründüğünü ve saldırganların hâlâ savunmasız olan herhangi bir WS_FTP sunucusunu yakalayıp yakalayamayacaklarını görmek için geniş bir ağ kurduğunun göstergesi olduğunu söylüyor “Bu güvenlik açıklarının bu sürümden önce istismar edildiğine dair herhangi bir kanıtın farkında değiliz

Sayıca Sınırlı

Huntress Labs ayrıca CVE-2023-40044’ü ve diğer WS_FTP kusurlarını hedef alan bazı saldırıların gözlemlendiğini de bildirdi Ancak şirketin kıdemli güvenlik araştırmacısı John Hammond’un açıkladığı gibi saldırıların sayısı şu ana kadar sınırlıydı Saldırılar, “kod yürütmeyi doğrulamak için basit bir nslookup DNS sorgusu, zorunlu indirmeler yoluyla yeni yüklerin hazırlanması ve kalıcılık mekanizmalarının kurulmasına kadar” değişiyordu

Erken PoC’ler ve Suistimal Etkinliği

Güvenlik açığına ilişkin kavram kanıtı yararlanma kodu, açıklanmasından kısa bir süre sonra kullanıma sunuldu Bunlardan yaklaşık 91 ana bilgisayar, 29 Eylül itibariyle hizmeti devre dışı bırakmıştı

Hata, WS_FTP’nin isteğe bağlı Ad Hoc Transfer modülünde mevcut ve yazılımın desteklenen tüm sürümlerini etkiliyor

Bu arada İnternet izleme firması Censys, İnternet’teki savunmasız WS_FTP sunucuları için yapılan bir araştırmanın, bu sunucuların bulunduğunu gösterdiğini söyledi ”





siber-1

Örneğin Rapid7 şunu söyledi: gözlemlenen sömürü birden çok müşteri ortamındaki bir veya daha fazla WS_FTP güvenlik açığından Progress, 27 Eylül’de hatayı açıkladı ve kuruluşların şirketin güncellemesini mümkün olan en kısa sürede uygulamasını önerdi 000’den fazla WS_FTP ana bilgisayarı varken, bunlardan yalnızca 325’inde Geçici Aktarım Modülü etkinleştirilmiş gibi görünüyor Kusurun CVSS ölçeğinde olası maksimum önem puanı 10,0’dır, çünkü kolaylıkla istismar edilebilir ve kimliği doğrulanmamış bir saldırganın WS_FTP Sunucusunun temel işletim sisteminde uzaktan komutlar çalıştırmasına olanak tanır

Ancak saldırganların, Progress’in Mayıs ayında MOVEit dosya aktarım yazılımında bildirdiği benzer kritik sıfır gün kusurunu ne kadar yaygın şekilde kullandığı göz önüne alındığında, kuruluşların bu güvenlik açığını mümkün olan en kısa sürede yamalamayı geciktirmesi için bir neden yok Condon, “Tüm olaylar benzer davranışlar içeriyordu, bu da gördüğümüz faaliyetin arkasında tek bir düşmanın olduğunu gösteriyor olabilir” diye belirtiyor CVE-2023-40044, Progress’in geçen hafta açıkladığı sekiz güvenlik açığından biriydi NET seri durumdan çıkarma güvenlik açığıdır “Anekdot olarak, görünürlüğümüz dahilindeki WS_FTP kurulumlarının öncelikle finansal kurumlar ve sağlık hizmeti sağlayıcıları tarafından kullanıldığını fark ettik” diye belirtiyor Hammond, “Huntress, WS_FTP’ye ve CVE-2023-40044 güvenlik açığına yönelik bir düzineden az saldırı gözlemledi” diyor Saldırılar neredeyse eşzamanlı olarak gerçekleşti ve etkilenen bir WS_FTP sunucusunun kitlesel istismarının tüm işaretlerini taşıyordu Firmaya göre, İnternet üzerinden erişilebilen 4

Rapid7 güvenlik açığı araştırması başkanı Caitlin Condon, şirketinin 30 Eylül Cumartesi günü müşteri ortamlarında birden fazla WS_FTP Sunucusu istismarı örneğini gözlemlediğini söyledi Varlık notuProgress’e yönelik güvenlik açığını bildiren şirket ve “MCKSys Arjantin,“Bu yılın başlarında Progress’e sıfır günü bildiren güvenlik araştırmacısı



Progress Software’in geçen hafta WS_FTP Sunucusu dosya aktarım ürününde açıkladığı maksimum önem derecesine sahip bir kusuru hedef alan saldırılar, erken dönemdeki suistimal faaliyetlerinden sonra şu ana kadar bir miktar sınırlı görünüyor Güvenlik sağlayıcısı, güvenlik açığını saldırganlar için potansiyel olarak “çok yüksek” değere sahip olarak değerlendirdi Censys, “Potansiyel olarak savunmasız sunucuların sayısı beklenenden çok daha düşük, bu da en kötü haber değil” dedi