Güvenlik araştırmacıları, bilgisayar korsanlarının toplu saldırılar başlatmak için popüler bir dosya aktarım teknolojisindeki başka bir yüksek riskli güvenlik açığından aktif olarak yararlandıkları konusunda uyarıyor.
Siber güvenlik şirketi Huntress’teki araştırmacılara göre, CVE-2024-50623 olarak takip edilen güvenlik açığı, Illinois merkezli kurumsal yazılım şirketi Cleo tarafından geliştirilen yazılımı etkiliyor.
Kusur ilk olarak Cleo tarafından 30 Ekim’de bir güvenlik danışma belgesinde açıklandı ve bu belgeden yararlanmanın uzaktan kod yürütülmesine yol açabileceği konusunda uyarıda bulunuldu. Kuruluşların dosya aktarımlarını yönetmek için yaygın olarak kullandığı Cleo’nun LexiCom, VLTransfer ve Harmony araçlarını etkiliyor.
Cleo, Ekim ayında bu güvenlik açığına yönelik bir yama yayınladı, ancak Pazartesi günü yayınlanan bir blogda Huntress, yamanın yazılım kusurunu hafifletmediği konusunda uyardı.
Huntress güvenlik araştırmacısı John Hammond, şirketin 3 Aralık’tan bu yana tehdit aktörlerinin “bu yazılımı topluca kullandığını” gözlemlediğini söyledi. 1.700’den fazla Cleo LexiCom, VLTransfer ve Harmony sunucusunu koruyan Huntress’in, sunucuları bu yazılımdan yararlanan en az 10 işletme keşfettiğini ekledi. tehlikeye atılmıştı.
Hammond, “Şu ana kadar kurban kuruluşlar arasında çeşitli tüketici ürünleri şirketleri, lojistik ve nakliye kuruluşları ve gıda tedarikçileri yer aldı” diye yazdı ve diğer birçok müşterinin saldırıya uğrama riskiyle karşı karşıya olduğunu ekledi.
Herkese açık cihazlar ve veritabanları için bir arama motoru olan Shodan, çoğunluğu ABD’de bulunan yüzlerce savunmasız Cleo sunucusunu listeliyor
Cleo’nun ABD’li biyoteknoloji şirketi Illumina, spor ayakkabı devi New Balance ve Hollandalı lojistik firması Portable dahil olmak üzere 4.200’den fazla müşterisi var.
Huntress, bu saldırıların arkasındaki tehdit aktörünü henüz belirlemedi ve etkilenen Cleo müşterilerinden herhangi bir verinin çalınıp çalınmadığı bilinmiyor. Ancak Hammond, şirketin bilgisayar korsanlarının savunmasız sistemleri tehlikeye attıktan sonra “istismar sonrası faaliyet” gerçekleştirdiğini gözlemlediğini belirtti.
Cleo, TechCrunch’ın sorularına yanıt vermedi ve kusura karşı koruma sağlayan bir yama henüz yayınlamadı. Huntress, Cleo müşterilerinin, yeni bir yama yayınlanana kadar internete açık tüm sistemlerini bir güvenlik duvarının arkasına taşımasını tavsiye ediyor.
Kurumsal dosya aktarım araçları, bilgisayar korsanları ve gasp grupları arasında popüler bir hedeftir. Geçen yıl, Rusya bağlantılı Clop fidye yazılımı çetesi, Progress Software’in MOVEit Transfer ürünündeki sıfır gün güvenlik açığından yararlanarak binlerce kurban talep etti. Aynı çete daha önce de Fortra’nın 130’dan fazla kuruluşu hedeflemek için kullanılan GoAnywhere yönetimli dosya aktarım yazılımındaki bir güvenlik açığından toplu olarak yararlanılmasından payını almıştı.
Kaynak: https://techcrunch.com/2024/12/10/hackers-are-exploiting-a-flaw-in-popular-file-transfer-tools-to-launch-mass-hacks-again/