Fortra wydała ostrzeżenie dotyczące nowej podatności umożliwiającej ominiecie uwierzytelniania, która dotyczy wersji GoAnywhere MFT (Managed File Transfer) przed 7.4.1. Ta podatność pozwala atakującym tworzyć nowe konta administratorów, stwarzając znaczne zagrożenie dla organizacji na całym świecie, które polegają na GoAnywhere MFT do bezpiecznego transferu plików z klientami i partnerami biznesowymi. GoAnywhere MFT oferuje protokoły szyfrowania, automatyzację, scentralizowaną kontrolę oraz różne narzędzia do rejestrowania i raportowania, ułatwiające zgodność i audyty.
Nowo odkryta podatność, oznaczona jako CVE-2024-0204, została sklasyfikowana jako krytyczna z wynikiem CVSS v3.1 wynoszącym 9.8, ponieważ może być wykorzystywana zdalnie. Umożliwia nieautoryzowanym użytkownikom tworzenie kont administratora za pośrednictwem panelu administracyjnego produktu. Tworzenie arbitralnych kont z uprawnieniami administratora może prowadzić do przejęcia pełnej kontroli nad urządzeniem. W przypadku GoAnywhere MFT może to umożliwiać atakującym dostęp do wrażliwych danych, wprowadzanie złośliwego oprogramowania i potencjalnie uruchomienie dalszych ataków sieciowych.
Ta podatność dotyczy wersji GoAnywhere MFT 6.x od wersji 6.0.1 oraz wersji GoAnywhere MFT 7.4.0 i wcześniejszych. Została ona naprawiona w wersji GoAnywhere MFT 7.4.1, wydanej 7 grudnia 2023 roku. Fortra zdecydowanie zaleca, aby wszyscy użytkownicy zainstalowali najnowszą aktualizację (obecnie 7.4.1), aby wyeliminować podatność.
Ponadto, Fortra w swoim komunikacie udostępnia dwie tymczasowe rozwiązania:
– Usuń plik InitialAccountSetup.xhtml z katalogu instalacyjnego i zrestartuj usługi.
– Zastąp plik InitialAccountSetup.xhtml pustym plikiem i zrestartuj usługi.
Warto zauważyć, że CVE-2024-0204 zostało odkryte 1 grudnia 2023 roku przez Mohammeda Eldeebę i Islama Elrfai’a ze Spark Engineering Consultants. Jednak od czasu pierwotnej informacji minęło już sporo czasu.
Fortra nie potwierdziła, czy podatność jest obecnie wykorzystywana. Możliwe, że po opublikowaniu przez Fortrę środków łagodzących i wytycznych dotyczących łapania błędów, pojawią się wkrótce dowody koncepcji ataku (ang. proof-of-concept).
Wcześniej, w 2023 roku, grupa ransomware o nazwie Clop wykorzystała krytyczną podatność na zdalne wykonanie kodu w GoAnywhere MFT, aby zaatakować 130 firm i organizacji. Stało się wiele ofiar tych ataków, w tym Crown Resorts, CHS, Hatch Bank, Rubrik, City of Toronto, Hitachi Energy, Procter & Gamble i Saks Fifth Avenue. Dlatego organizacje korzystające z GoAnywhere MFT powinny natychmiast zastosować dostępne aktualizacje zabezpieczeń i zalecane środki ostrożności, a także dokładnie analizować swoje dzienniki w poszukiwaniu podejrzanej aktywności.
FAQ
The source of the article is from the blog xn--campiahoy-p6a.es