Maksimum Önem Derecesindeki WS_FTP Hatasına Yönelik Saldırılar Şu ana Kadar Sınırlıdır - Dünyadan Güncel Teknoloji Haberleri

Maksimum Önem Derecesindeki WS_FTP Hatasına Yönelik Saldırılar Şu ana Kadar Sınırlıdır - Dünyadan Güncel Teknoloji Haberleri
Kusurun CVSS ölçeğinde olası maksimum önem puanı 10,0’dır, çünkü kolaylıkla istismar edilebilir ve kimliği doğrulanmamış bir saldırganın WS_FTP Sunucusunun temel işletim sisteminde uzaktan komutlar çalıştırmasına olanak tanır Condon, “Tüm olaylar benzer davranışlar içeriyordu, bu da gördüğümüz faaliyetin arkasında tek bir düşmanın olduğunu gösteriyor olabilir” diye belirtiyor ” Saldırıların hiçbirinin herhangi bir veri sızıntısıyla sonuçlanmadığını ve tüm olayların kontrol altına alındığını ekliyor “Anekdot olarak, görünürlüğümüz dahilindeki WS_FTP kurulumlarının öncelikle finansal kurumlar ve sağlık hizmeti sağlayıcıları tarafından kullanıldığını fark ettik” diye belirtiyor Censys, MOVEit güvenlik açığına maruz kalan ve halen birkaç bin örneğinin çevrimiçi olduğu sistemlerle karşılaştırıldığında, WS_FTP çalıştıran nispeten daha az sayıda ana bilgisayarın bulunduğunu söyledi

PoC’ler, kusuru hedef alan bazı erken istismar faaliyetlerine katkıda bulundu

Maksimum Önem Derecesi Hatası

CVE-2023-40044, araştırmacıların tek bir HTTPS POST ve bazı belirli çok parçalı verilerle kullanılabileceğini gösterdiği, WS_FTP’deki bir CVE-2023-40044, Progress’in geçen hafta açıkladığı sekiz güvenlik açığından biriydi Firmaya göre, İnternet üzerinden erişilebilen 4 Örneğin Rapid7 şunu söyledi: gözlemlenen sömürü birden çok müşteri ortamındaki bir veya daha fazla WS_FTP güvenlik açığından

Progress, e-postayla gönderilen bir açıklamada, üçüncü tarafların geçen hafta açıklanan güvenlik açıklarına yönelik PoC’leri ne kadar hızlı yayınladığından duyduğu hayal kırıklığını dile getirdi

İçinde teknik Analiz 2 Ekim’de Rapid7, CVE-2023-40044’ün ayrıntılı bir tanımını ve araştırmacılarının bu kusurdan nasıl yararlandığını açıkladı “CVE-2023-40044 aynı zamanda doğrudan sunucu tarafında kod yürütülmesine neden olma olasılığı en yüksek olan güvenlik açığıdır

Ancak saldırganların, Progress’in Mayıs ayında MOVEit dosya aktarım yazılımında bildirdiği benzer kritik sıfır gün kusurunu ne kadar yaygın şekilde kullandığı göz önüne alındığında, kuruluşların bu güvenlik açığını mümkün olan en kısa sürede yamalamayı geciktirmesi için bir neden yok



Progress Software’in geçen hafta WS_FTP Sunucusu dosya aktarım ürününde açıkladığı maksimum önem derecesine sahip bir kusuru hedef alan saldırılar, erken dönemdeki suistimal faaliyetlerinden sonra şu ana kadar bir miktar sınırlı görünüyor Güvenlik sağlayıcısı, güvenlik açığını saldırganlar için potansiyel olarak “çok yüksek” değere sahip olarak değerlendirdi Bunlardan yaklaşık 91 ana bilgisayar, 29 Eylül itibariyle hizmeti devre dışı bırakmıştı

Bu arada İnternet izleme firması Censys, İnternet’teki savunmasız WS_FTP sunucuları için yapılan bir araştırmanın, bu sunucuların bulunduğunu gösterdiğini söyledi 000’den fazla WS_FTP ana bilgisayarı varken, bunlardan yalnızca 325’inde Geçici Aktarım Modülü etkinleştirilmiş gibi görünüyor

Rapid7, saldırıları herhangi bir WS_FTP güvenlik açığıyla ilişkilendiremedi ancak etkinliğin en azından bir kısmının CVE-2023-40044’e atfedilebilir olması muhtemel ”





siber-1

Ancak şirketin kıdemli güvenlik araştırmacısı John Hammond’un açıkladığı gibi saldırıların sayısı şu ana kadar sınırlıydı Censys, “Potansiyel olarak savunmasız sunucuların sayısı beklenenden çok daha düşük, bu da en kötü haber değil” dedi Açıklamada, “Bu, tehdit aktörlerine, müşterilerimizin çoğu hâlâ yamayı uygulama aşamasındayken güvenlik açıklarından nasıl yararlanacakları konusunda bir yol haritası sağladı” denildi

Hata, WS_FTP’nin isteğe bağlı Ad Hoc Transfer modülünde mevcut ve yazılımın desteklenen tüm sürümlerini etkiliyor

Erken PoC’ler ve Suistimal Etkinliği

Güvenlik açığına ilişkin kavram kanıtı yararlanma kodu, açıklanmasından kısa bir süre sonra kullanıma sunuldu NET seri durumdan çıkarma güvenlik açığıdır Saldırılar neredeyse eşzamanlı olarak gerçekleşti ve etkilenen bir WS_FTP sunucusunun kitlesel istismarının tüm işaretlerini taşıyordu Varlık notuProgress’e yönelik güvenlik açığını bildiren şirket ve “MCKSys Arjantin,“Bu yılın başlarında Progress’e sıfır günü bildiren güvenlik araştırmacısı Rapid7 ayrıca tüm saldırılarda aynı Burpsuite alanının yer aldığını gördüklerini bildirdi ve saldırıların arkasında muhtemelen tek bir aktörün olduğunu hemen teorileştirdi Huntress uzlaşmaya dair göstergeler sağladı gözlemlediği aktivite

Hammond, Huntress’in gözlemlediği istismar faaliyetinin doğası gereği fırsatçı gibi göründüğünü ve saldırganların hâlâ savunmasız olan herhangi bir WS_FTP sunucusunu yakalayıp yakalayamayacaklarını görmek için geniş bir ağ kurduğunun göstergesi olduğunu söylüyor Hammond, “Huntress, WS_FTP’ye ve CVE-2023-40044 güvenlik açığına yönelik bir düzineden az saldırı gözlemledi” diyor “Gördüğümüz faaliyet olası kitlesel istismarın işaretlerini taşısa da, neyse ki şu ana kadar sınırlı kaldı 30 Eylül’e kadar” diyor Condon, “Rapid7’nin gözlemlediği en az bir durumda, Windows olay günlüğündeki Microsoft IIS hatası, CVE-2023-40044 seri durumdan çıkarma güvenlik açığından yararlanılması beklenen çağrı yığınını gösteriyor” dedi önemli ölçüde daha az bunların sayısı başlangıçta varsayıldığından daha fazladır

Rapid7 güvenlik açığı araştırması başkanı Caitlin Condon, şirketinin 30 Eylül Cumartesi günü müşteri ortamlarında birden fazla WS_FTP Sunucusu istismarı örneğini gözlemlediğini söyledi Saldırılar, “kod yürütmeyi doğrulamak için basit bir nslookup DNS sorgusu, zorunlu indirmeler yoluyla yeni yüklerin hazırlanması ve kalıcılık mekanizmalarının kurulmasına kadar” değişiyordu Progress, 27 Eylül’de hatayı açıkladı ve kuruluşların şirketin güncellemesini mümkün olan en kısa sürede uygulamasını önerdi “Bu güvenlik açıklarının bu sürümden önce istismar edildiğine dair herhangi bir kanıtın farkında değiliz

Sayıca Sınırlı

Huntress Labs ayrıca CVE-2023-40044’ü ve diğer WS_FTP kusurlarını hedef alan bazı saldırıların gözlemlendiğini de bildirdi