Fortra ha emesso un avviso riguardante una nuova vulnerabilità di bypass di autenticazione che riguarda le versioni di GoAnywhere MFT (Managed File Transfer) precedenti alla 7.4.1. Questa vulnerabilità consente agli attaccanti di creare nuovi account amministratore, rappresentando una grave minaccia per le organizzazioni di tutto il mondo che si affidano a GoAnywhere MFT per il trasferimento sicuro dei file con clienti e partner commerciali. GoAnywhere MFT offre protocolli di cifratura, automazione, controllo centralizzato e vari strumenti di logging e reporting per agevolare la conformità e le verifiche.
La nuova vulnerabilità scoperta, identificata come CVE-2024-0204, è classificata come critica, con un punteggio CVSS v3.1 di 9.8, in quanto può essere sfruttata in remoto. Consente agli utenti non autorizzati di creare account amministratore tramite il pannello amministrativo del prodotto. La creazione di account arbitrari con privilegi amministrativi può avere come conseguenza la completa takeover del dispositivo. Nel caso di GoAnywhere MFT, ciò può consentire agli attaccanti di accedere a dati sensibili, introdurre software dannosi e potenzialmente lanciare ulteriori attacchi di rete.
Questa vulnerabilità interessa le versioni di GoAnywhere MFT 6.x dalla 6.0.1 in poi, nonché le versioni precedenti di GoAnywhere MFT 7.4.0. È stata affrontata con il rilascio di GoAnywhere MFT 7.4.1, avvenuto il 7 dicembre 2023. Fortra raccomanda vivamente a tutti gli utenti di installare l’ultima versione aggiornata (attualmente la 7.4.1) per eliminare la vulnerabilità.
Inoltre, Fortra fornisce due soluzioni temporanee nella loro pubblicazione:
– Rimuovere il file InitialAccountSetup.xhtml dalla directory di installazione e riavviare i servizi.
– Sostituire il file InitialAccountSetup.xhtml con un file vuoto e riavviare i servizi.
È importante notare che la CVE-2024-0204 è stata scoperta il 1 dicembre 2023 da Mohammed Eldeeba e Islam Elrfai’a di Spark Engineering Consultants. Tuttavia, è trascorso un periodo significativo dalla divulgazione iniziale.
Fortra non ha specificato se la vulnerabilità viene attivamente sfruttata o meno. È possibile che dopo il rilascio delle misure di mitigazione e delle linee guida per la caccia agli errori da parte di Fortra, possano presto emergere esempi di exploit concettuali.
In precedenza, nel 2023, un gruppo di ransomware chiamato Clop ha sfruttato una vulnerabilità critica di esecuzione del codice remoto in GoAnywhere MFT per prendere di mira 130 aziende e organizzazioni. Numerose sono state le vittime di questi attacchi, tra cui Crown Resorts, CHS, Hatch Bank, Rubrik, City of Toronto, Hitachi Energy, Procter & Gamble e Saks Fifth Avenue. Pertanto, le organizzazioni che utilizzano GoAnywhere MFT dovrebbero applicare tempestivamente gli aggiornamenti di sicurezza disponibili e le mitigazioni consigliate, analizzando attentamente i propri log per individuare attività sospette.
FAQ basata sui principali argomenti e informazioni presenti nell’articolo:
1. Che vulnerabilità è stata scoperta nel sistema GoAnywhere MFT?
– La vulnerabilità scoperta riguarda il bypass dell’autenticazione e consente agli attaccanti di creare nuovi account amministratore.
2. Qual è la classificazione di questa vulnerabilità?
– La vulnerabilità è classificata come critica, con un punteggio CVSS v3.1 di 9.8.
3. Quali sono le conseguenze dello sfruttamento di questa vulnerabilità?
– La creazione di account arbitrari con privilegi amministratori può comportare la completa takeoQver del dispositivo, consentendo agli attaccanti di accedere a dati sensibili, introdurre software dannosi e lanciare ulteriori attacchi di rete.
4. Quali versioni del sistema GoAnywhere MFT sono interessate da questa vulnerabilità?
– La vulnerabilità riguarda le versioni di GoAnywhere MFT 6.x dalla 6.0.1 in poi, nonché le versioni precedenti di GoAnywhere MFT 7.4.0.
5. Come ci si può proteggere da questa vulnerabilità?
– Per eliminare la vulnerabilità, è consigliabile installare l’ultimo aggiornamento (attualmente la versione 7.4.1) del sistema GoAnywhere MFT.
6. Quali sono le soluzioni temporanee disponibili?
– Fortra offre due soluzioni temporanee: rimuovere il file InitialAccountSetup.xhtml dalla directory di installazione e riavviare i servizi, oppure sostituire il file InitialAccountSetup.xhtml con un file vuoto e riavviare i servizi.
7. Quando è stata scoperta la vulnerabilità e da chi?
– La vulnerabilità è stata scoperta il 1 dicembre 2023 da Mohammed Eldeeba e Islam Elrfai’a di Spark Engineering Consultants.
8. La vulnerabilità viene attivamente sfruttata?
– Non è chiaro se la vulnerabilità viene attivamente sfruttata.
9. Questa vulnerabilità è stata sfruttata in attacchi precedenti?
– In precedenza, nel 2023, un gruppo di ransomware chiamato Clop ha sfruttato la vulnerabilità del sistema GoAnywhere MFT per prendere di mira 130 aziende e organizzazioni.
10. Quali organizzazioni dovrebbero applicare tempestivamente gli aggiornamenti di sicurezza?
– Le organizzazioni che utilizzano il sistema GoAnywhere MFT dovrebbero applicare tempestivamente gli aggiornamenti di sicurezza e le mitigazioni consigliate, analizzando i propri log per individuare attività sospette.
Definizioni dei termini e dei gergo:
1. GoAnywhere MFT – Un sistema di gestione del trasferimento di file che offre protocolli di cifratura, automazione, controllo centralizzato e strumenti di logging e reporting.
2. Vulnerabilità – Una debolezza o un difetto in un sistema che può essere sfruttato da un attaccante per compromettere la sicurezza.
3. Autenticazione – Il processo di verifica dell’identità di un utente o di un dispositivo prima di concedere l’accesso a risorse specifiche.
4. Account amministratore – Un account utente con i privilegi più elevati che ha il controllo completo su un sistema o un’applicazione.
5. CVSS v3.1 – Il Common Vulnerability Scoring System, versione 3.1, che fornisce una scala di valutazione per la gravità delle vulnerabilità, valutando il loro impatto su un sistema e la loro sfruttabilità.
6. PoC (proof of concept) – Una dimostrazione dell’exploit teorico di una vulnerabilità per dimostrarne la fattibilità.
Link rilevanti suggeriti per il dominio principale:
– Homepage di GoAnywhere MFT
– Informazioni su GoAnywhere MFT
The source of the article is from the blog jomfruland.net