Pazar, Şubat 16, 2025
Ana SayfaTeknoloji HaberleriKritik GoAnywhere güvenlik açığı kullanılarak çalınan 1 milyon hastanın sağlık bilgileri...

Kritik GoAnywhere güvenlik açığı kullanılarak çalınan 1 milyon hastanın sağlık bilgileri…

Fotoğraf, bir ikili kod dizisinden virüs çıkaran bir güvenlik tarayıcısını göstermektedir.  kelime ile el

Getty Resimleri

ABD’deki en büyük hastane zincirlerinden biri, bilgisayar korsanlarının GoAnywhere adlı bir kurumsal yazılım ürünündeki bir güvenlik açığından yararlanarak 1 milyon hastanın korumalı sağlık bilgilerini ele geçirdiğini söyledi.

Franklin, Tennessee Toplum Sağlık Sistemleri, Pazartesi günü Menkul Kıymetler ve Borsa Komisyonu’na yaptığı bir dosyada, saldırının Fortra’nın büyük kuruluşlara lisansladığı yönetilen bir dosya aktarım ürünü olan GoAnywhere MFT’yi hedef aldığını söyledi. Dosyalama, şu ana kadar devam eden bir soruşturmanın, saldırının muhtemelen 1 milyon kişiyi etkilediğini ortaya çıkardığını söyledi. Ele geçirilen veriler, Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası tarafından tanımlanan korunan sağlık bilgilerini ve ayrıca hastaların kişisel bilgilerini içeriyordu.

İki hafta önce gazeteci Brian Krebs, Mastodon’da siber güvenlik şirketi Fortra’nın müşterilere, şirketin yakın zamanda GoAnywhere’i hedef alan “sıfır gün uzaktan kod enjeksiyon açığını” öğrendiğini bildiren özel bir uyarı yayınladığını söyledi. Güvenlik açığı o zamandan beri CVE-2023-0669 adını aldı. Fortra, güvenlik açığını 7 Şubat’ta 7.1.2 sürümüyle yamaladı.

“Bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilenler listesindeki IP adreslerinden (örneğin, bulut ortamlarında çalışırken) erişilebilir. Azure veya AWS),” dedi Krebs tarafından alıntılanan danışma belgesi. “Yönetici arayüzünüz herkese açık olsaydı ve/veya bu arayüze uygun erişim kontrolleri uygulanamazsa” bilgisayar korsanlarının mümkün olduğunu söylemeye devam etti.

Fortra’nın saldırıların çoğu durumda yalnızca bir müşterinin özel ağında mümkün olduğunu söylemesine rağmen, Community Health Systems dosyalamasında Fortra’nın “bir güvenlik olayı yaşamış” ve “Fortra ihlalini” doğrudan şirketten öğrenmiş olan varlık olduğu belirtildi.

“Fortra tarafından yaşanan güvenlik ihlalinin bir sonucu olarak, Korunan Sağlık Bilgileri (“PHI”) (Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (“HIPAA”) tarafından tanımlandığı şekliyle) ve belirli hastaların “Kişisel Bilgileri” (“PI”) Şirketin bağlı kuruluşlarının yüzde 10’u Fortra’nın saldırganı tarafından ifşa edildi.”

Fortra yetkilileri, tam olarak hangi şirketin ağının ihlal edildiğine ilişkin açıklama isteyen bir e-postada şunları yazdı: “30 Ocak 2023’te, GoAnywhere MFTaaS çözümümüzün belirli örneklerinde şüpheli faaliyetlerden haberdar olduk. Daha fazla yetkisiz etkinliği önlemek için bu hizmette geçici bir kesinti uygulamak, etkilenmiş olabilecek tüm müşterileri bilgilendirmek ve kurum içi müşterilerimize bizim uygulamalarımıza ilişkin talimatları içeren hafifletme kılavuzunu paylaşmak dahil olmak üzere, bu sorunu çözmek için hemen birden fazla adım attık. yakın zamanda geliştirilen yama.” Açıklama ayrıntı vermedi.

Fortra, Pazartesi günkü SEC dosyasında yayınlananların ötesinde yorum yapmayı reddetti.

Geçen hafta, güvenlik firması Huntress, müşterilerinden birinin yaşadığı bir ihlalin, büyük olasılıkla CVE-2023-0669 olan bir GoAnywhere güvenlik açığından yararlanılmasının sonucu olduğunu bildirdi. İhlal, 2 Şubat’ta, Krebs’in Mastodon’a özel tavsiyeyi göndermesiyle aşağı yukarı aynı zamanda meydana geldi.

Huntress, saldırıda kullanılan kötü amaçlı yazılımın, Silence olarak bilinen bir tehdit grubu tarafından kullanılan Truebot olarak bilinen bir ailenin güncellenmiş bir versiyonu olduğunu söyledi. Silence’ın TA505 olarak izlenen bir grupla ve TA505’in bir fidye yazılımı grubu olan Clop ile bağları vardır.

Huntress araştırmacısı Joe Slowick, “Gözlemlenen eylemlere ve önceki raporlara dayanarak, Huntress’in gözlemlediği etkinliğin, aynı amaçla GoAnywhere MFT’nin potansiyel olarak ek fırsatçı istismarıyla birlikte fidye yazılımı dağıtmayı amaçladığına dair orta düzeyde bir güvenle sonuca varabiliriz.”

Bleeping Computer’dan Clop’un sorumlu olduğuna dair daha fazla kanıt geldi. Geçen hafta yayın, Clop üyelerinin 130 kuruluşu hacklemek için CVE-2023-0669’u kullanma sorumluluğunu üstlendiğini ancak iddiayı destekleyecek hiçbir kanıt sağlamadığını söyledi.

Güvenlik şirketi Rapid7’den araştırmacılar bir analizde, güvenlik açığını istismar edilebilirlik ve saldırgan değeri için “çok yüksek” derecelere sahip bir “kimlik doğrulama öncesi seri kaldırma sorunu” olarak tanımladı. Saldırganların bu güvenlik açığından yararlanabilmesi için GoAnywhere MFT’nin yönetim bağlantı noktasına (varsayılan olarak, bağlantı noktası 8000) ağ düzeyinde erişime veya dahili bir kullanıcının tarayıcısını hedefleyebilmeye ihtiyacı vardır.

Saldırıların kolaylığı ve kritik güvenlik açığından yararlanan kavram kanıtı kodunun etkili bir şekilde yayımlanması göz önüne alındığında, GoAnywhere kullanan kuruluşlar tehdidi ciddiye almalıdır. Yama, elbette saldırıları önlemenin en etkili yoludur. GoAnywhere kullanıcılarının hemen yama uygulayamamaları durumunda alabilecekleri geçici önlemler, yönetici bağlantı noktasına ağ düzeyinde erişimin mümkün olan en az sayıda kullanıcıyla sınırlandırılmasını sağlamak ve tarayıcı kullanıcılarının güvenlik açığı bulunan son noktaya erişimini kaldırmaktır. web.xml dosyası.

RELATED ARTICLES

Popüler Konular