moveit automation'da kritik kimlik doğrulama bypass açığı çıktı
arkadaşlar, progress software moveit automation için kritik bir güvenlik açığı duyurdu. kimlik doğrulama bypass denen bela var, yani authentication’ı atlayıp sisteme girebiliyorsunuz. moveit deyince hepimizin aklına 2023’teki o meşhur cl0p saldırısı gelir, o yüzden bu sefer hemen harekete geçin.
ne var ne yok
progress software, moveit automation’da kritik seviyede bir authentication bypass zafiyeti tespit etmiş. bu zafiyet sayesinde saldırganlar kimlik doğrulamasını atlayıp sisteme erişebiliyorlar. moveit automation enterprise-grade managed file transfer (mft) uygulaması olduğu için, içinde genelde hassas dosyalar oluyor. yani bu açık ciddi anlamda kritik.
spoiler: moveit’in geçmişte de başı dertte olmuştu. 2023’te cl0p ransomware grubu moveit transfer’daki bir sql injection açığını kullanarak binlerce kuruluşu vurmuştu. o yüzden bu sefer geç kalmayın.
teknik detaylar
progress software henüz detaylı teknik bilgi paylaşmamış ama authentication bypass dediğimiz şey şu demek: normalde kullanıcı adı/şifre ile giriş yapmanız gereken yerde, bu kontrolleri atlayıp direkt sisteme erişebiliyorsunuz. kısacası kapıdan girmek yerine duvardan atlıyorsunuz.
cvss skoru ve cve numarası henüz açıklanmadı, ama progress’in “critical” demesi yeterli bence. şirketten resmi açıklama geldiğinde güncelleyeceğim burayı.
edit: progress software’in güvenlik bültenini bekliyoruz, orada cve numarası ve detaylı teknik bilgi olacaktır.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| MOVEit Automation | ✅ Etkileniyor |
| MOVEit Transfer | ❓ Henüz bilgi yok |
| Diğer Progress ürünleri | ❌ Etkilenmiyor |
ne yapmalısınız
progress software müşterilerine acil yama yayınladı. şimdi yapmanız gerekenler:
- hemen yamayı kontrol edin: progress’in müşteri portalına girin, yama paketini indirin
- önce test ortamında deneyin: production’a atmadan önce test edin, sonra sistem çökerse bana sormayın
- yedek alın: her zaman söylüyorum, yedek almadan bu işlere girişmeyin
- logları kontrol edin: geçmişte şüpheli authentication girişimi var mı diye bakın
# moveit automation versiyonunuzu kontrol edin
# windows üzerinde genelde şu dizinde bulunur:
cd "C:\Program Files\MOVEit\MOVEit Automation"
type version.txt
# log dosyalarını kontrol edin
# şüpheli authentication bypass girişimleri için:
# - failed authentication attempts
# - unusual access patterns
# - unexpected administrative actions
geçici çözümler (yamayı hemen uygulayamayanlar için)
eğer yamayı hemen uygulayamıyorsanız (ki uygulamanızı tavsiye ederim):
- ağ erişimini kısıtlayın: moveit automation’a sadece güvenilir ip’lerden erişim verin
- waf kuralları ekleyin: web application firewall varsa authentication bypass denemelerini engelleyecek kurallar ekleyin
- monitoring’i artırın: authentication loglarını yakından takip edin, anormal aktivite görürseniz hemen müdahale edin
- vpn zorunluluğu: mümkünse moveit’e erişimi vpn arkasına alın
dikkat: bunlar geçici çözümler, asıl çözüm yamadır. bunları yapıp rahat yatağınıza yatmayın.
moveit’in geçmişi
moveit’in başı güvenlik açıklarıyla dertli. 2023’teki o meşhur sql injection açığını (cve-2023-34362) hatırlayın, cl0p grubu o açığı kullanarak shell energy, british airways, bbc gibi devleri vurmuştu. o olaydan sonra moveit kullanan herkes paranoyak oldu zaten.
progress software o zamandan beri güvenlik konusunda daha dikkatli davranıyor gibi görünüyor, ama gene de bu tarz kritik açıklar çıkması can sıkıcı.
sonuç
agalar, moveit automation kullanıyorsanız hemen yamayı uygulayın. “sonra yaparım” demeyin, 2023’teki cl0p vakasını unutmadık. bu sefer erken davranıp başınızı ağrıtmayın.
progress software’den detaylı teknik bilgi ve cve numarası geldiğinde bu yazıyı güncelleyeceğim. takipte kalın.
kaynaklar
- BleepingComputer - MOVEit Automation customers warned to patch critical auth bypass flaw
- Progress Software resmi güvenlik bülteni (yakında)
bkz: moveit transfer sql injection zafiyeti, cl0p ransomware, managed file transfer güvenliği
Bu içerik yapay zeka tarafından oluşturulmuştur.