Fortra’nın GoAnywhere MFT tarafından yönetilen dosya aktarım uygulamasını etkileyen bir sıfırıncı gün güvenlik açığından aktif olarak yararlanılıyor.
Kusurun ayrıntıları ilk olarak güvenlik muhabiri Brian Krebs tarafından Mastodon’da kamuoyuyla paylaşıldı. Fortra tarafından herhangi bir kamu danışmanlığı yayımlanmamıştır.
Güvenlik açığı, uygulamanın yönetim konsoluna erişim gerektiren ve sistemlerin halka açık internete maruz kalmamasını zorunlu kılan bir uzaktan kod enjeksiyonu durumudur.
Güvenlik araştırmacısı Kevin Beaumont’a göre, internet üzerinden genel erişime açık 1.000’den fazla şirket içi örnek var ve bunların çoğu ABD’de bulunuyor.
Rapid7 araştırmacısı Caitlin Condon, “Alıntılanan Fortra danışma belgesi Krebs, GoAnywhere MFT müşterilerine tüm yönetici kullanıcıları gözden geçirmelerini ve özellikle sistem tarafından oluşturulanlar olmak üzere tanınmayan kullanıcı adlarını izlemelerini tavsiye ediyor” dedi.
“Mantıksal çıkarım, Fortra’nın muhtemelen savunmasız hedef sistemleri devralmak veya bu sistemlerde kalıcılığı sürdürmek için yeni yönetici veya diğer kullanıcıların oluşturulmasını içeren devam eden saldırgan davranışı görmesidir.”
Alternatif olarak, siber güvenlik şirketi, tehdit aktörlerinin konsola yönetici erişimi elde etmek için yeniden kullanılan, zayıf veya varsayılan kimlik bilgilerini kullanmasının mümkün olduğunu söyledi.
Fortra, “License Response Servlet” yapılandırmasını web.xml dosyasından kaldırmak için geçici çözümler yayımlamış olsa da, şu anda sıfır gün güvenlik açığı için herhangi bir yama mevcut değildir.
Dosya aktarımı çözümlerindeki güvenlik açıkları, veri hırsızlığı ve şantaj için silah haline getirilmiş Accellion ve FileZen’deki kusurlarla birlikte, tehdit aktörleri için çekici hedefler haline geldi.