Fortra, GoAnywhere MFT güvenli dosya aktarım aracında aktif olarak kullanılan sıfır gün güvenlik açığını gidermek için bir acil durum yaması yayınladı.
Güvenlik açığı, saldırganların yönetim konsolu çevrimiçi olarak açığa çıkan güvenlik açığı bulunan GoAnywhere MFT örneklerinde uzaktan kod yürütmesine olanak tanır.
Şirket hafta sonu boyunca (bu danışma belgesine yalnızca ücretsiz bir hesapla erişilebilir) saldırılarda kusurdan yararlanıldığını açıkladı ve potansiyel olarak etkilenen müşteriler için, günlüklerde görünecek belirli bir yığın izleme de dahil olmak üzere uzlaşma göstergeleri sağladı. güvenliği ihlal edilmiş sistemlerde.
Fortra, “Bu yığın izleme günlüklerdeyse, büyük ihtimalle bu sistem saldırıların hedefi olmuştur,” dedi.
Şimdi, müşteri kontrol paneline “zamana duyarlı” olarak etiketlenen ve müşterileri bulut sunucularına “mümkün olan en kısa sürede” yama yapmaya teşvik eden bir güncelleme ekledi.
Fortra, “Bu yama (7.1.2), GoAnywhere MFTaaS ile ilgili olarak geçen hafta yayınlanan Güvenlik Önerilerinde ifşa ettiğimiz sorunun bir sonucu olarak oluşturuldu. Tüm GoAnywhere MFT müşterilerine acilen bu yamayı uygulamalarını tavsiye ediyoruz,” diyor Fortra.
“İndirildikten sonra, belirlenen sorunun tam olarak düzeltilmesini sağlamak için yamanın mümkün olan en kısa sürede uygulanması için yöneticilerinizle birlikte çalışmanızı öneririz.
“Özellikle internete açık bir yönetici portalı çalıştıran müşteriler için bunu acil bir mesele olarak değerlendiriyoruz.”
Güvenlik yamasını, oturum açtıktan sonra GoAnywhere hesap sayfasının üst kısmındaki “Ürün İndirmeleri” sekmesinden indirebilirsiniz.
Pazartesi günü, güvenlik araştırmacısı Florian Hauser BT güvenlik danışmanlığı firması Code White ayrıca, İnternet’e açık ve yama uygulanmamış GoAnywhere MFT sunucularında kimliği doğrulanmamış uzaktan kod yürütmeyi başarmak için kullanılabilecek bir kavram kanıtı istismarı yayınladı.
Çevrimiçi olarak açığa çıkan düzinelerce örnek, hafifletme de mevcut
Fortra, Cumartesi günü yaptığı danışma belgesi güncellemesinde, “bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağı içinden, VPN aracılığıyla veya izin verilenler listesindeki IP adresleri (Azure veya AWS gibi bulut ortamlarında çalışırken).”
Ancak bir Shodan taraması, internette 1.000’e yakın GoAnywhere örneğinin açığa çıktığını ortaya koyuyor. Buna rağmen, güvenlik açığı bulunan yönetici konsolu tarafından varsayılan olarak kullanılan 8000 ve 8001 numaralı bağlantı noktalarında yalnızca 140’ın biraz üzerinde erişilebilir.
GoAnywere MFT acil durum güvenlik düzeltme ekini hemen uygulayamazsanız, yönetici arayüzüne yalnızca güvenilir kaynaklardan erişime izin vermek için erişim kontrollerinin uygulanmasını veya lisanslama hizmetini devre dışı bırakmayı gerektiren şirketin hafifletme tavsiyesini uygulayabilirsiniz.
Yerleşik ve güvenlik açığı bulunan lisanslama sunucusunu devre dışı bırakmak için yöneticilerin web.xml dosyasındaki Lisans Yanıtı Servlet’i için servlet ve servlet-mapping yapılandırmalarını yorumlaması veya silmesi gerekir; bu da güvenlik açığı bulunan uç noktayı devre dışı bırakır.
Değişiklikleri yaptıktan ve değiştirilen web.xml dosyasını kaydettikten sonra, yeni yapılandırmayı uygulamak için yeniden başlatma da gerekir.
Fortra, “Ortamınızdaki verilere erişilebileceği veya dışa aktarılabileceği gerçeği nedeniyle, ortamdaki diğer sistemler için kimlik bilgileri depolayıp saklamadığınızı belirlemeli ve bu kimlik bilgilerinin iptal edildiğinden emin olmalısınız.”
“Bu, GoAnywhere’in entegre olduğu herhangi bir harici sisteme erişmek için kullanılan şifreleri ve anahtarları içerir.
“Bu harici sistemlerden tüm kimlik bilgilerinin iptal edildiğinden emin olun ve bu sistemlerle ilgili erişim günlüklerini inceleyin. Buna, sistem içindeki dosyaları şifrelemek için kullanılan şifreler ve anahtarlar da dahildir.”