İnternete maruz kalan WS_FTP sunucuları, maksimum şiddete karşı açılmamış güvenlik açığı artık fidye yazılımı saldırılarında hedeflenmektedir.
Sophos X-Ops olay müdahaleleri tarafından yakın zamanda gözlemlendiği gibi, Reichsadler siber suç grubu Eylül 2022'de çalınan bir Lockbit 3.0 oluşturucu kullanılarak oluşturulan fidye yazılımı yüklerini dağıtmaya çalışırken kendi kendini tanımlayan tehdit aktörleri.
Sophos X-Ops, "Fidye yazılımı aktörleri, WS_FTP sunucu yazılımında yakın zamanda bildirilen güvenlik açığını kötüye kullanmak için uzun süre beklemedi." Dedi.
Diyerek şöyle devam etti: "Progress Software, Eylül 2023'te bu güvenlik açığı için bir düzeltme yayınlamasına rağmen, tüm sunucular yamalı değil. Sophos X-Ops, fidye yazılımlarını eşleştirilmemiş hizmetler aracılığıyla dağıtmak için başarısız girişimler gözlemledi."
Saldırganlar, Windows İstemcisi (Windows 8 ila Windows 11) ve Sunucu (Windows Server 2012'den Windows Server 2022'den Windows Server 2022) platformlarında ayrıcalık artışına izin veren açık kaynaklı Godpotato aracını kullanarak ayrıcalıkları artırmaya çalıştı.
Neyse ki, kurbanın sistemlerine fidye yazılımı yüklerini dağıtma girişimleri engellendi ve saldırganların hedefin verilerini şifrelemesini engelledi.
Dosyaları şifrelemeseler de, tehdit aktörleri hala 15 Ekim'e kadar Moskova Standart Time'a kadar ödenecek 500 dolarlık bir fidye istedi.
Düşük fidye talebi, internete maruz kalan ve savunmasız WS_FTP sunucularına, kitlesel otomatik saldırılarda veya deneyimsiz bir fidye yazılımı işlemiyle hedefleniyor.
CVE-2023-40044 olarak izlenen kusur, geçici aktarım modülündeki bir .NET seansizasyon güvenlik açığından kaynaklanır ve bu da kimlik doğrulanmamış saldırganların altta yatan işletim sistemindeki komutları HTTP istekleri aracılığıyla uzaktan yürütmesini sağlar.
27 Eylül'de Progress Software, yöneticileri savunmasız örnekleri yükseltmeye çağırarak kritik WS_FTP sunucu güvenlik açığını ele almak için güvenlik güncellemeleri yayınladı.
Progress, "8.8.2 olan en yüksek sürüme yükseltilmenizi öneriyoruz. Yamalı bir sürüme yükseltme, tam yükleyiciyi kullanarak bu sorunu düzeltmenin tek yolu." Dedi.
WS_FTP Hatasını keşfeden AssetNote Güvenlik Araştırmacıları, Yamalı Olduktan Günler Sonra Kavram Kanıtı (POC) Koşul Kodu yayınladı.
"WS_FTP analizimizden, internette WS_FTP çalıştıran yaklaşık 2.9 bin ana bilgisayar olduğunu bulduk (ve aynı zamanda sömürü için gerekli olan web sunucusu maruz kaldı). Bu çevrimiçi varlıkların çoğu büyük işletmelere, hükümetlere ve Eğitim kurumları, "dedi AssetNote.
Siber güvenlik şirketi Rapid7, saldırganların POC istismarının piyasaya sürüldüğü gün 30 Eylül'de CVE-2023-40044'ten yararlanmaya başladığını açıkladı.
Rapid7, "İşlem yürütme zinciri, gözlemlenen tüm örneklerde aynı görünüyor, bu da savunmasız WS_FTP sunucularının olası kütle sömürülmesini gösteriyor."
Shodan, AssetNote'un ilk tahminlerini doğrulayan WS_FTP sunucu yazılımı çalıştıran yaklaşık 2.000 internete maruz kalan cihazı listeler.
Sunucularını hemen yamalayamayan kuruluşlar, savunmasız WS_FTP sunucusu geçici aktarım modülünü devre dışı bırakarak gelen saldırıları engelleyebilir.
ABD Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3), ABD Sağlık Departmanı Güvenlik Ekibi, geçen ay sağlık ve halk sağlığı sektörü kuruluşlarının sunucularını mümkün olan en kısa sürede yamaları konusunda uyardı.
Progress Software şu anda bu yılın başlarında MoveIT aktarımı güvenli dosya aktarım platformunda sıfır gün hatasını kullanan yaygın bir dizi veri hırsızlığı saldırısının ardından ilgileniyor.
Bu saldırılar EMSISOFT tarafından tahmin edildiği gibi 2.500'den fazla kuruluşu ve 64 milyondan fazla kişiyi etkiledi.
Saldırılarda sömürülen kritik WS_FTP Bug için kullanılabilir istismar
İlerleme maksimum ciddiyeti WS_FTP Sunucu Güvenlik Açığı
Fidye Yazılımında Hafta - 13 Ekim 2023 - Artan saldırılar
CISA, fidye yazılımı çeteleri tarafından kullanılan güvenlik açıklarını, yanlış konfigürasyonları paylaşıyor
FBI, Avoslocker Fidye Yazılımı Teknik Ayrıntıları, Savunma İpuçlarını paylaşıyor
Kaynak: Bleeping Computer