Fortra, FileCatalyst dosya aktarım çözümünü etkileyen, kimliği doğrulanmamış saldırganların duyarlı sunucularda uzaktan kod yürütmesine olanak verebilecek, artık yamalanmış kritik bir güvenlik açığının ayrıntılarını yayınladı.
CVE-2024-25153 olarak takip edilen eksiklik, maksimum 10 üzerinden 9,8 CVSS puanı taşıyor.
Şirket geçen hafta bir danışma belgesinde, “FileCatalyst İş Akışı Web Portalının 'ftpservlet'indeki bir dizin geçişi, dosyaların özel hazırlanmış bir POST isteği ile amaçlanan 'uploadtemp' dizininin dışına yüklenmesine olanak tanıyor” dedi.
“Bir dosyanın web portalının DocumentRoot'una başarıyla yüklendiği durumlarda, web kabukları da dahil olmak üzere kodu yürütmek için özel hazırlanmış JSP dosyaları kullanılabilir.”
Şirket, güvenlik açığının ilk olarak 9 Ağustos 2023'te bildirildiğini ve iki gün sonra FileCatalyst Workflow sürüm 5.1.6 Build 114'te CVE tanımlayıcısı olmadan giderildiğini söyledi. Fortra, Aralık 2023'ün başlarında CVE Numaralandırma Otoritesi (CNA) olarak yetkilendirildi.
LRQA Nettitude'dan güvenlik araştırmacısı Tom Wedgbury, kusuru keşfetme ve bildirme konusunda itibar kazandı. Şirket o zamandan beri, kusurun bir web kabuğu yüklemek ve isteğe bağlı sistem komutlarını yürütmek için nasıl silah haline getirilebileceğini açıklayan tam bir kavram kanıtı (PoC) istismarı yayınladı.
Ayrıca Ocak 2024'te Fortra tarafından, FileCatalyst Direct'te bilgi sızıntısına ve kod yürütülmesine yol açabilecek diğer iki güvenlik açığı (CVE-2024-25154 ve CVE-2024-25155) çözüldü.
Fortra GoAnywhere yönetilen dosya aktarımında (MFT) daha önce açıklanan kusurların geçen yıl Cl0p gibi tehdit aktörleri tarafından yoğun şekilde istismar edilmesi nedeniyle, kullanıcıların potansiyel tehditleri azaltmak için gerekli güncellemeleri uygulamaları önerilir.