Az új GoAnywhere MFT (Managed File Transfer) változatok, a 7.4.1 előtti verziói sérülékenységéről figyelmeztetést adott ki a Fortra. Ez a sebezhetőség lehetővé teszi a támadók számára, hogy új rendszergazdai fiókokat hozzanak létre, ami jelentős fenyegetést jelent azoknak a szervezeteknek világszerte, akik a GoAnywhere MFT rendszert használják biztonságos fájlátvitelre partnereikkel és ügyfeleikkel. A GoAnywhere MFT titkosítási protokollokat, automatizációt, központi vezérlést és különböző naplózási és jelentéskészítési eszközöket kínál a szabályozás betartásához és az ellenőrzések végrehajtásához.
A legújabb felfedezett sebezhetőség, amelyet CVE-2024-0204-ként azonosítottak, kritikusnak minősül a CVSS v3.1 skálán értékelt 9.8 ponttal. Mivel távolról kihasználható, jogosulatlan felhasználóknak lehetőséget ad arra, hogy új rendszergazdai fiókokat hozzanak létre a termék adminisztratív paneljén keresztül. Az önkényes fiókok létrehozása rendszergazdai jogosultságokkal teljes készülékátvételhez vezethet. A GoAnywhere MFT esetében ez lehetővé teszi a támadóknak a érzékeny adatokhoz való hozzáférést, kártékony szoftverek bevezetését és további hálózati támadásokat.
Ez a sebezhetőség érinti a GoAnywhere MFT 6.x verzióját a 6.0.1 verziótól kezdődően, valamint a GoAnywhere MFT 7.4.0 és korábbi verzióit. A sérülékenység kijavításra került a GoAnywhere MFT 7.4.1 verziójának kiadásával, amelyet 2023. december 7-én adtak ki. A Fortra erősen javasolja, hogy minden felhasználó telepítse a legújabb frissítést (jelenleg a 7.4.1 verziót), hogy megszüntesse a sebezhetőséget.
Emellett a Fortra két ideiglenes megoldást is nyújt a kiadványban:
– Távolítsa el az InitialAccountSetup.xhtml fájlt a telepítési könyvtárból, majd indítsa újra a szolgáltatásokat.
– Cserélje ki az InitialAccountSetup.xhtml fájlt egy üres fájlra, majd indítsa újra a szolgáltatásokat.
Fontos megjegyezni, hogy a CVE-2024-0204-et Mohammed Eldeeba és Islam Elrfai’a fedezte fel a Spark Engineering Consultants csoport tagjaként 2023. december 1-jén. Azóta azonban jelentős idő telt el a kezdeti nyilvánosságra hozatal óta.
A Fortra nem tisztázta, hogy a sebezhetőséget aktívan kihasználják-e. Elképzelhető, hogy a Fortra által közzétett védelmi intézkedések és hibakutató útmutatók után hamarosan megjelenhetnek a proof-of-concept (PoC) kísérleti támadások.
Az előzőleg, 2023-ban Clop néven ismert zsarolóvírus csoport kihasználta a GoAnywhere MFT-en egy kritikus távoli kódfuttatási sebezhetőséget, amellyel 130 vállalatot és szervezetet támadott meg. Ezen támadások során számos áldozatot követelt, köztük a Crown Resorts, a CHS, a Hatch Bank, a Rubrik, a Toronto Város, a Hitachi Energy, a Procter & Gamble és a Saks Fifth Avenue. Ezért a GoAnywhere MFT rendszert használó szervezeteknek sürgősen alkalmazniuk kell a rendelkezésre álló biztonsági frissítéseket és ajánlott védelmi intézkedéseket, valamint alaposan elemezniük kell a naplóikat gyanús tevékenység tekintetében.
Gyakran ismételt kérdések (FAQ) az article alapján:
1. Milyen sebezhetőség lett felfedezve a GoAnywhere MFT rendszerben?
– A felfedezett sebezhetőség az azonosítás kikerülésével kapcsolatos és lehetővé teszi a támadóknak, hogy új rendszergazdai fiókokat hozzanak létre.
2. Milyen a sebezhetőség besorolása?
– A sebezhetőség kritikusnak minősül a CVSS v3.1 skála szerint, 9.8 ponttal.
3. Milyen következményei vannak a sebezhetőség kihasználásának?
– Az önkényes fiókok létrehozása rendszergazdai jogosultságokkal teljes készülékátvételhez vezethet, lehetővé téve a támadóknak az érzékeny adatokhoz való hozzáférést, kártékony szoftverek bevezetését és további hálózati támadásokat.
4. Mely GoAnywhere MFT rendszer verziók érintettek ebben a sebezhetőségben?
– A sebezhetőség érinti a GoAnywhere MFT 6.x verzióját a 6.0.1 verziótól kezdve, valamint a GoAnywhere MFT 7.4.0 és korábbi verzióit.
5. Hogyan lehet védekezni ezzel a sebezhetőséggel szemben?
– A sebezhetőség megszüntetéséhez ajánlott telepíteni a GoAnywhere MFT rendszer legújabb frissítését (jelenleg a 7.4.1 verziót).
6. Milyen ideiglenes megoldások vannak?
– A Fortra két ideiglenes megoldást kínál: távolítsa el az InitialAccountSetup.xhtml fájlt a telepítési könyvtárból, majd indítsa újra a szolgáltatásokat, vagy cserélje ki az InitialAccountSetup.xhtml fájlt egy üres fájlra, majd indítsa újra a szolgáltatásokat.
7. Mikor és ki fedezte fel a sebezhetőséget?
– A sebezhetőséget 2023. december 1-jén fedezte fel Mohammed Eldeeba és Islam Elrfai’a a Spark Engineering Consultants csoport tagjai.
8. Aktívan kihasználják-e a sebezhetőséget?
– Még nem tisztázott, hogy a sebezhetőséget aktívan kihasználják-e.
9. Előzőleg kihasználták-e már ez a sebezhetőség támadások során?
– Korábban, 2023-ban Clop néven ismert zsarolóvírus csoport kihasználta a sebezhetőséget a GoAnywhere MFT rendszeren keresztül támadott 130 vállalatot és szervezetet.
10. Mely szervezeteknek kell sürgősen biztonsági frissítéseket alkalmazniuk?
– A GoAnywhere MFT rendszert használó szervezeteknek sürgősen alkalmazniuk kell a rendelkezésre álló biztonsági frissítéseket és ajánlott védelmi intézkedéseket, valamint alaposan elemezniük kell a naplóikat gyanús tevékenység tekintetében.
Definíciók a használt kifejezésekhez:
1. GoAnywhere MFT – Fájlátviteli kezelőrendszer, amely titkosítási protokollokat, automatizációt, központi vezérlést és naplózási jelentést biztosít.
2. Sebezhetőség – A rendszerben lévő gyengeség vagy hiba, amelyet egy támadó kihasználhat a biztonság kompromittálásához.
3. Azonosítás – A felhasználó vagy eszköz azonosságának ellenőrzése a hozzáférés biztosítása előtt.
4. Rendszergazdai fiók – A felhasználói fiók a legmagasabb jogosultságokkal, amely teljes irányítást biztosít a rendszer vagy alkalmazás felett.
5. CVSS v3.1 – Az „Common Vulnerability Scoring System” 3.1-es változata, amely pontszámot ad a sebezhetőségek súlyosságának értékeléséhez, és azok hatását és kihasználhatóságát méri.
6. PoC (proof of concept) – Egy elméleti sebezhetőség kihasználásának bemutatása a lehetséges kihasználhatóság bizonyítására.
Javasolt releváns linkek a fő domainhez:
– GoAnywhere MFT Honlap
– GoAnywhere MFT Információ
The source of the article is from the blog shakirabrasil.info