Una Nueva Vulnerabilidad en GoAnywhere MFT Permite la Creación no Autorizada de Cuentas de Administrador

Fortra ha emitido una advertencia sobre una nueva vulnerabilidad de bypass de autenticación que afecta a las versiones de GoAnywhere MFT (Managed File Transfer) anteriores a 7.4.1. Esta vulnerabilidad permite a los atacantes crear nuevas cuentas de administrador, lo que supone una amenaza significativa para las organizaciones de todo el mundo que dependen de GoAnywhere MFT para la transferencia segura de archivos con clientes y socios comerciales. GoAnywhere MFT ofrece protocolos de encriptación, automatización, control centralizado y varias herramientas de registro e informes para facilitar el cumplimiento normativo y las auditorías.

La vulnerabilidad recientemente descubierta, identificada como CVE-2024-0204, se clasifica como crítica con un valor CVSS v3.1 de 9.8, ya que puede ser explotada de forma remota. Permite a los usuarios no autorizados crear cuentas de administrador a través del panel administrativo del producto. La creación de cuentas arbitrarias con privilegios de administrador puede dar lugar a la toma completa del dispositivo. En el caso de GoAnywhere MFT, esto puede permitir a los atacantes acceder a datos sensibles, introducir software malicioso y potencialmente lanzar ataques de red adicionales.

Esta vulnerabilidad afecta a las versiones 6.x de GoAnywhere MFT desde 6.0.1 en adelante, así como a las versiones 7.4.0 y anteriores de GoAnywhere MFT. Se ha abordado en el lanzamiento de GoAnywhere MFT 7.4.1, que se emitió el 7 de diciembre de 2023. Fortra recomienda encarecidamente a todos los usuarios que instalen la última actualización (actualmente 7.4.1) para eliminar la vulnerabilidad.

Además, Fortra proporciona dos soluciones temporales en su publicación:
– Eliminar el archivo InitialAccountSetup.xhtml del directorio de instalación y reiniciar los servicios.
– Reemplazar el archivo InitialAccountSetup.xhtml por un archivo vacío y reiniciar los servicios.

Cabe destacar que CVE-2024-0204 fue descubierto el 1 de diciembre de 2023 por Mohammed Eldeeba e Islam Elrfai’a de Spark Engineering Consultants. Sin embargo, ha pasado mucho tiempo desde la divulgación inicial.

Fortra no ha aclarado si la vulnerabilidad está siendo explotada activamente o no. Es posible que, después de la publicación de Fortra de medidas de mitigación y pautas de caza de errores, pronto aparezcan exploits de prueba de concepto.

Anteriormente, en 2023, un grupo de ransomware llamado Clop aprovechó una vulnerabilidad crítica de ejecución de código remoto en GoAnywhere MFT para atacar a 130 empresas y organizaciones. Ha habido numerosas víctimas de estos ataques, incluyendo Crown Resorts, CHS, Hatch Bank, Rubrik, City of Toronto, Hitachi Energy, Procter & Gamble y Saks Fifth Avenue. Por lo tanto, las organizaciones que utilizan GoAnywhere MFT deben aplicar rápidamente las actualizaciones de seguridad disponibles y las mitigaciones recomendadas, y analizar detenidamente sus registros en busca de actividad sospechosa.