Sicherheitswarnung: Unternehmen, die Managed File Transfer (MFT)-Dienste nutzen, sind auf eine sichere Software angewiesen. Daher ist es wichtig, auf aktuelle Berichte über die Veröffentlichung eines Proof-of-Concept-Exploits für eine kritische Software-Sicherheitslücke in Fortra GoAnywhere MFT aufmerksam zu machen.
Die Sicherheitslücke mit der Bezeichnung CVE-2024-0204 handelt es sich um einen ernsthaften Authentifizierungsfehler, der von Fortra am 4. Dezember 2023 behoben wurde. Die Details zu dieser Sicherheitslücke wurden jedoch erst am Montag veröffentlicht. Die Bedrohung hat eine CVSS-Bewertung von 9.8, was bedeutet, dass ein unbefugter Benutzer über das Administrationsportal des Produkts einen Administrator-Benutzer erstellen kann. Dadurch wird es ermöglicht, die volle Kontrolle über die Client-Umgebung zu übernehmen und auf das Netzwerk zuzugreifen.
Zuvor war die GoAnywhere MFT-Software bereits das Ziel der berüchtigten Clop-Ransomware-Gruppe. Diese Gruppe führte bereits eine bekannte Angriffskampagne gegen Fortras MOVEit-Software durch. Durch den Angriff auf die MFT-Software gelang es der Gruppe, die Daten von etwa 100 betroffenen Organisationen zu kompromittieren. Dabei wurde eine Remote-Code-Ausführung-Sicherheitslücke (CVE-2023-0669) in Fortra MFT ausgenutzt.
Ein Opfer des Angriffs war Brightline, eine Einrichtung für psychische Gesundheitsversorgung von Kindern, die berichtete, dass die Daten von über 780.000 Kindern gefährdet wurden.
In der aktuellen Situation, nachdem der Code, der die Sicherheitslücken ausnutzt, veröffentlicht wurde, ist es wahrscheinlich, dass Hacker versuchen werden, ungepatchte Instanzen der GoAnywhere MFT-Software anzugreifen.
Die gute Nachricht ist, dass es möglich ist zu überprüfen, ob unsere Organisation bereits Opfer eines Angriffs geworden ist. Horizon3 schlägt vor, dies durch die Analyse neuer Hinzufügungen zur Administrator-Benutzergruppe im GoAnywhere-Administrationsportal zu überprüfen. Wenn ein Angreifer dort einen neuen Benutzer hinterlassen hat, kann die jüngste Anmeldeaktivität beobachtet werden, um das Datum des Angriffs einzuschätzen.
Darüber hinaus werden die Datenbankprotokolle im folgenden Verzeichnis gespeichert: GoAnywhereuserdatadatabasegoanywherelog*.log. Diese Dateien enthalten die Transaktionshistorie der Datenbank, und das Hinzufügen von Benutzern erzeugt entsprechende Einträge.
Es ist wichtig, dass Unternehmen ihre GoAnywhere MFT-Software zeitnah aktualisieren und ihre Umgebungen gegen potenzielle Angriffe sichern. Sicherheit unserer Daten hat höchste Priorität!
Häufig gestellte Fragen:
Frage: Wie ernst ist die kritische Software-Sicherheitslücke in Fortra GoAnywhere MFT?
Antwort: Die Sicherheitslücke hat eine CVSS-Bewertung von 9.8, was auf ihre Ernsthaftigkeit hinweist. Sie ermöglicht einem unbefugten Benutzer die Erstellung eines Administrator-Benutzers und die Übernahme der Kontrolle über die Client-Umgebung und den Netzwerkzugriff.
Frage: Wer war der Angreifer der Clop-Ransomware-Gruppe?
Antwort: Die berüchtigte Clop-Ransomware-Gruppe hat zuvor Angriffe auf Fortras MOVEit-Software und nun auch auf die GoAnywhere MFT-Software durchgeführt.
Frage: Welche Maßnahmen können Unternehmen ergreifen, um sich vor Angriffen zu schützen?
Antwort: Unternehmen sollten umgehend ihre GoAnywhere MFT-Software aktualisieren, um die behobene Sicherheitslücke zu schließen. Darüber hinaus können sie die Aktivitäten in der Administrator-Benutzergruppe überwachen und die Datenbankprotokolle analysieren, um verdächtige Aktivitäten zu erkennen.
Frage: Welche Organisation wurde von dem Angriff besonders betroffen?
Antwort: Brightline, eine Einrichtung für psychische Gesundheitsversorgung von Kindern, gab an, dass die Daten von über 780.000 Kindern durch den Angriff auf die GoAnywhere MFT-Software gefährdet wurden.
Frage: Wie kann überprüft werden, ob unsere Organisation bereits Opfer eines Angriffs ist?
Antwort: Eine Möglichkeit besteht darin, die neue Hinzufügungen zur Administrator-Benutzergruppe im GoAnywhere-Administrationsportal zu überprüfen. Eine weitere Möglichkeit besteht darin, die Datenbankprotokolle zu analysieren und nach verdächtigen Einträgen zu suchen.
Quelle: example.com
The source of the article is from the blog portaldoriograndense.com