CVE-2023-34362 MOVEit Sql Açığı Nedir ?
31 Mayıs 2023 tarihinde, Progress, MOVEit Transfer yazılımında kritik bir güvenlik açığı (CVE-2023-34362) hakkında bilgi verdi. Bu açık, MOVEit Transfer web uygulamasında SQL enjeksiyonu (SQLi) yoluyla etkilenen sistemlerde ayrıcalık yükseltme ve izinsiz erişime yol açabilecek potansiyele sahiptir.
MOVEit Transfer, hassas veriler için güvenli işbirliği ve otomatik dosya transferi sağlayan Progress Software tarafından geliştirilen bir yazılımdır. Birçok organizasyon tarafından dünya genelinde yaygın bir şekilde kullanılmaktadır.
Kullanılan veritabanı motoruna (örneğin MySQL, Microsoft SQL Server veya Azure SQL) bağlı olarak, bir saldırgan veritabanının yapısına ve içeriğine erişebilir ve hatta veriyi değiştirmek veya silmek için SQL ifadelerini çalıştırabilir. Bu saldırıların HTTP veya HTTPS gibi protokoller üzerinden gerçekleşebileceği önemlidir.
Bu zafiyetin sömürülmesi, 2023 Mayıs sonundan bu yana tespit edilmiştir. Saldırganlar, "human2.aspx" olarak bilinen bir arka kapı kullanmaktadır. TrustedSec gibi birkaç araştırmacı, bu arka kapıyı incelemiş ve aşağıdaki işlevselliği belirlemiştir:
1.MOVEit içindeki klasörlerin, dosyaların ve kullanıcıların kapsamlı bir listesini alın.
2.MOVEit içinde depolanan herhangi bir dosyayı indirin.
3.MOVEit içinde "Health Check Service" adında bir arka kapı yönetici kullanıcısı oluşturun.
Microsoft Tehdit İstihbaratı, bu zafiyetin sömürülmesini "Lace Tempest" grubuna bağlamıştır. Bu grup, fidye yazılımı operasyonları düzenleyen ve Cl0p olarak bilinen tahrik sitesini işleten kötü şöhretli bir gruptur.
Ana Özellikler
Bu zafiyetin ana özellikleri aşağıdaki gibidir:
CVE Kimliği: CVE-2023-34362.
Yayın Tarihi: 31/05/2023.
Etkilenen Yazılım: MOVEit Transfer.
Etkilenen Sürümler:
2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) ve 2023.0.1 (15.0.1) sürümleri öncesi.
CVE-2023-34362
Satıcı, CVE-2023-34362 zafiyetini çözmek için aşağıdaki adımları öneren resmi bir tavsiye yayınlamıştır:
MOVEit Transfer ortamında tüm HTTP ve HTTPS trafiğini devre dışı bırakın.
Yetkisiz dosyaları ve kullanıcı hesaplarını kaldırın ve hizmet hesapları için kimlik bilgilerini sıfırlayın.
Gerekli güvenlik yamalarını uygulayın.
Affected Version | Fixed version | Documentation |
MOVEit Transfer 2023.0.0 (15.0) | ||
MOVEit Transfer 2022.1.x (14.1) | ||
MOVEit Transfer 2022.0.x (14.0) | ||
MOVEit Transfer 2021.1.x (13.1) | ||
MOVEit Transfer 2021.0.x (13.0) | ||
MOVEit Transfer 2020.1.x (12.1) | Special Patch Available | |
MOVEit Transfer 2020.0.x (12.0) or older | MUST upgrade to a supported version | |
MOVEit Cloud | Prod: 14.1.4.94 or 14.0.3.42 Test: 15.0.1.37 | All MOVEit Cloud systems are fully patched at this time. Cloud Status Page |
4.Yetkisiz dosyaların ve hesapların kaldırıldığını doğrulayın.
5.HTTP ve HTTPS trafiğini tekrar etkinleştirin.
6.Ağ, uç noktalar ve günlüklerin Sürekli İhlal Göstergeleri (IoC) için sürekli olarak izlenmesini uygulayın. Satıcının resmi tavsiyesi, referans için IoC'ların bir listesini sunmaktadır.
Zafiyetin Tespiti
Palo Alto Networks'ün Unit42 ve TrustedSec gibi birçok kaynak, bu zafiyet aracılığıyla kompromisin tespiti için göstergeler sağlamıştır:
"C:\MOVEitTransfer\wwwroot" ve "D:\MOVEitDMZ\wwwroot" veya benzeri dizinleri inceleyerek son zamanlarda oluşturulan şüpheli dosyaları bulmak için kontrol edin. Özellikle "human2.aspx" veya benzer bir zaman çerçevesi içinde oluşturulan "App_Web_[RASGELE].dll" gibi dosyalara özel dikkat edin.
"C:\Windows\Temp" gibi "C:\Windows\Temp" gibi önceden derlenmiş DLL'leri arayın, örneğin "erymbsqv\erymbsqv.dll".
MOVEit ortamından büyük çıkış ağ transferlerini içeren MOVEit veya güvenlik duvarı günlüklerini kontrol edin.
"Health Check Service" adında bir kullanıcı içeren MOVEit kullanıcı veritabanını inceleyin.
"Health Check Service" kullanıcısı için MOVEit veritabanındaki aktif oturumları analiz edin (keşfedilen arka kapı, en son oturum açma zaman damgasını değiştirebileceğinden, bu alanın denetim için güvenilir olmadığını unutmayın).
Aşağıdaki istek veya yanıt başlıklarından herhangi birini içeren web trafiğini arayın: "X-siLock-Comment," "X-siLock-Step1," "X-siLock-Step2," veya "X-siLock-Step3."
Bu saldırıda yaygın olarak kullanılan ASPX'deki bilinen web shell'in arka kapılarını tespit etmek için Florian Ross tarafından bir YARA kuralı geliştirilmiştir.
IoC'lar tarafından sağlanan satıcı IP adreslerinden kaynaklanan istekleri içeren MOVEit'in güvenlik duvarı ve IIS günlüklerini inceleyin.
Yükselen zafiyetler hizmetlerinin bir parçası olarak, Tarlogic, müşterilerinin çevresini proaktif olarak izler ve bu zafiyetin yanı sıra varlıkların güvenliği üzerinde ciddi etkileri olabilecek diğer kritik tehditleri hızlı bir şekilde bilgilendirir, tespit eder ve bildirir.
Konumu Okuduğun İçin Teşekkür Ederim
Kaynaklarım
community.progress.com
unit42.paloaltonetworks.com
www.trustedsec.com
github.com
5.HTTP ve HTTPS trafiğini tekrar etkinleştirin.
6.Ağ, uç noktalar ve günlüklerin Sürekli İhlal Göstergeleri (IoC) için sürekli olarak izlenmesini uygulayın. Satıcının resmi tavsiyesi, referans için IoC'ların bir listesini sunmaktadır.
Zafiyetin Tespiti
Palo Alto Networks'ün Unit42 ve TrustedSec gibi birçok kaynak, bu zafiyet aracılığıyla kompromisin tespiti için göstergeler sağlamıştır:
"C:\MOVEitTransfer\wwwroot" ve "D:\MOVEitDMZ\wwwroot" veya benzeri dizinleri inceleyerek son zamanlarda oluşturulan şüpheli dosyaları bulmak için kontrol edin. Özellikle "human2.aspx" veya benzer bir zaman çerçevesi içinde oluşturulan "App_Web_[RASGELE].dll" gibi dosyalara özel dikkat edin.
"C:\Windows\Temp" gibi "C:\Windows\Temp" gibi önceden derlenmiş DLL'leri arayın, örneğin "erymbsqv\erymbsqv.dll".
MOVEit ortamından büyük çıkış ağ transferlerini içeren MOVEit veya güvenlik duvarı günlüklerini kontrol edin.
"Health Check Service" adında bir kullanıcı içeren MOVEit kullanıcı veritabanını inceleyin.
"Health Check Service" kullanıcısı için MOVEit veritabanındaki aktif oturumları analiz edin (keşfedilen arka kapı, en son oturum açma zaman damgasını değiştirebileceğinden, bu alanın denetim için güvenilir olmadığını unutmayın).
Aşağıdaki istek veya yanıt başlıklarından herhangi birini içeren web trafiğini arayın: "X-siLock-Comment," "X-siLock-Step1," "X-siLock-Step2," veya "X-siLock-Step3."
Bu saldırıda yaygın olarak kullanılan ASPX'deki bilinen web shell'in arka kapılarını tespit etmek için Florian Ross tarafından bir YARA kuralı geliştirilmiştir.
IoC'lar tarafından sağlanan satıcı IP adreslerinden kaynaklanan istekleri içeren MOVEit'in güvenlik duvarı ve IIS günlüklerini inceleyin.
Yükselen zafiyetler hizmetlerinin bir parçası olarak, Tarlogic, müşterilerinin çevresini proaktif olarak izler ve bu zafiyetin yanı sıra varlıkların güvenliği üzerinde ciddi etkileri olabilecek diğer kritik tehditleri hızlı bir şekilde bilgilendirir, tespit eder ve bildirir.
Konumu Okuduğun İçin Teşekkür Ederim
Kaynaklarım
Progress Customer Community
Threat Brief - MOVEit Transfer SQL Injection Vulnerabilities: CVE-2023-34362, CVE-2023-35036 and CVE-2023-35708 (Updated Oct 4)
This threat brief details the critical vulnerability CVE-2023-34362 found in MOVEit Transfer and includes Unit 42's observations, the current attack scope and interim guidance.
unit42.paloaltonetworks.com
Critical Vulnerability in Progress MOVEit Transfer: Technical…
www.trustedsec.com
signature-base/yara/vuln_moveit_0day_jun23.yar at master · Neo23x0/signature-base
YARA signature and IOC database for my scanners and tools - Neo23x0/signature-base
github.com
