Clop fidye yazılımı çetesinin bilgi güvenliği ve uyumluluk çözümleri sağlayıcısı Qualys‘den çalındığı iddia edilen verileri yayınlamasından saatler sonra, şirket Accellion’un FTA ürününü içeren son siber saldırıdan etkilendiğini doğruladı.
Siber Güvenlik Şirketleri Saldırıların Hedefi
1999 yılında kurulan Kaliforniya merkezli firma, Forbes Global 100 şirketlerinin birçoğu da dahil olmak üzere dünya çapında 130’dan fazla ülkede 10.000’den fazla müşteriye hizmet vermektedir.
Tarama sonuçları ve mali belgeler dahil olmak üzere şirketten çalındığı iddia edilen veriler bu hafta “CL0P ^ _- LEAKS” Tor web sitesinde yayınlandı. Clop fidye yazılımının operatörleri tarafından sağlanan portal, fidye taleplerine teslim olmak istemeyen kurbanlardan çalınan verileri yayınlamak için kullanılıyor.
Dosya aktarım yazılımına güvenen kurumların başı dertte
Başlangıçta, web sitesi fidye yazılımı saldırıları sırasında dışarı sızan verileri listelerdi, ancak son zamanlarda Accellion FTA dosya aktarım yazılımına güvenen çeşitli kuruluşlardan çalınan verilerle dolup taştı.
Veriler, Accellion’un bu yılın başlarında onayladığı Aralık 2020 siber saldırı sırasında ele geçirildi . Saldırıda tümü zaten yamalanmış toplam dört sıfır gün güvenlik açığı belirlendi.
Birkaç hafta önce yayınlanan bir raporda, FireEye’ın Mandiant araştırmacıları saldırıyı bir TA505 yan ürünü olan FIN11 siber suç grubuna bağladı.
Accellion, Mandiant’ın olayla ilgili soruşturmasının ayrıntılarını anlatan bir raporda , ” Suistimal edilen güvenlik açıkları kritik önem taşıyordu , çünkü bunlar, kimlik doğrulaması yapılmamış uzaktan kod yürütme yoluyla istismara maruz kalıyorlardı ,” dedi .
Şirket ayrıca, saldırganların dosya aktarım yazılımını büyük olasılıkla tersine mühendislik yaptığını ve bunun kendilerine “Accellion FTA yazılımının iç işleyişine yüksek düzeyde gelişmişlik ve derin bir aşinalık” sağladığını söyledi.
Qualys olayı doğruladı
Verilerinin Clop’un sızıntı web sitesinde yayınlanmasının ardından Qualys , “Accellion FTA sunucusunda barındırılan dosyalara yetkisiz erişim” ile sonuçlandığını söyleyerek Accellion FTA olayının etkisini doğruladı .
Şirket ayrıca, yetkisiz erişimin FTA sunucusuyla sınırlı olduğunu ve olayın “Qualys üretim ortamları, kod tabanı veya Qualys Bulut Platformunda barındırılan müşteri verileri üzerinde hiçbir etkisi olmadığını” belirtiyor.
Şirket, Accellion FTA sunucusunun, üretim müşteri veri ortamından ayrılmış, ayrılmış bir DMZ ortamında konuşlandırıldığını açıkladı. Ayrıca Qualys, yayımlanan düzeltmeyi aldıktan hemen sonra uyguladığını ve birkaç gün sonra bir bütünlük uyarısı aldıktan sonra FTA sunucusunu tamamen izole ettiğini söylüyor.
Qualys, “Bu yetkisiz erişimden etkilenen sınırlı sayıda müşteriyi derhal bilgilendirdik,” diyor, tehlikeye atılan veriler veya etkilenen müşterilerin sayısı hakkında ek bilgi bulunmuyor.
Kaynaklar:
"https://www.securityweek.com/qualys-confirms-unauthorized-access-data-accellion-hack"
"https://blog.qualys.com/vulnerabilities-research/2021/03/03/qualys-update-on-accellion-fta-security-incident"
https://www.securityweek.com/accellion-retire-file-transfer-service-targeted-attacks
Yorum yazabilmek için oturum açmalısınız.