Güvenlik Operasyonları
‘/..;/’ Tekrar Vuruyor
Prajeet Nair (@prajeetspeaks), David Perera (@daveperera) •
24 Ocak 2024
Fortra’nın GoAnywhere yönetilen dosya aktarım yazılımındaki bir güvenlik açığı, yetkisiz kullanıcıların yeni bir yönetici kullanıcı oluşturmasına izin verebilir.
Ayrıca bakınız: SASE ve NDR Birbirlerini Nasıl Tamamlıyor?
CVE-2024-0204 olarak takip edilen kusur, Fortra’nın GoAnywhere MFT’sindeki uzaktan yararlanılabilen bir kimlik doğrulama atlama kusurudur.
Fortra kullanıcıları, 7.4.1 veya daha yüksek sürümlere yükseltme yaparak sorunu hafifletebilir. Kullanıcılar ayrıca güvenlik açığının etkisini kaldırarak da azaltabilirler. InitialAccountSetup.xhtml Dosyayı kurulum dizininden kaldırın ve hizmeti yeniden başlatın.
Ekran görüntülerine göre şirket 4 Aralık 2023’te bir iç güvenlik tavsiyesi yayınladı Paylaşıldı Kusuru keşfeden ve bildiren araştırmacılar tarafından sosyal medyada.
GoAnywhere MFT, geçen Mart ayında Rusça konuşan dijital şantaj grubu Clop’un Rio Tinto, Hitachi Energy, Procter & Gamble ve Münih RE dahil olmak üzere çok sayıda mavi çip kuruluşunu ihlal etmek için yaygın olarak kullanılan yönetilen dosya aktarım yazılımındaki sıfır günü istismar etmesiyle ana akım tanınırlık kazandı ( Görmek: Clop GoAnywhere Saldırıları Artık 130 Kuruluşu Etkiledi).
Bu saldırı, güvenlik açığı bulunan Progress Software’in MOVEit güvenli dosya aktarım yazılımına karşı Clop’un öncülüğünü yaptığı toplu veri sızıntısı olayını da içeren bir dizi dosya aktarım yazılımı korsanlığının başlangıcıydı (bkz.: Bilgisayar Korsanları Güvenli Dosya Aktarım Yazılımını Tekrar Tekrar Kullanıyor).
Kavram kanıtını yayınlayan Horizon3.ai Baş Saldırı Mühendisi Zach Hanley, kuruluşların genellikle onları kötü niyetli trafik açısından izlemediği ve aynı zamanda idari arayüzleri açık internete maruz bıraktığı göz önüne alındığında, dosya aktarım yazılımının fidye yazılımı korsanları için kazançlı bir hedef olduğunu kanıtladığını söyledi. kusurdan yararlanın.
Hanley, istismarın Java için Apache Tomcat çalışma zamanı ortamında yaygın olarak görülen bir yapılandırma hatasından yararlandığını söyledi. Tomcat’in bir tuhaflığının, bilgisayar korsanlarının özel karakterleri ekleyerek yol geçiş saldırılarını zorlayabilmesi olduğunu söyledi. /..;/ bir URL’ye.
Hanley, Information Security Media Group’a şunları söyledi: “Bir geliştiricinin Tomcat çerçevesini kullandığı ve bu sorundan habersiz olduğu, tekrar tekrar aynı sorunla karşılaşıyoruz.” Uygulama güvenliği test firması Acunetix, kusurun geliştiricilerin Tomcat’i ters proxy ile birleştirdiğinde ortaya çıktığını söyledi. Tomcat kendi başına bir yolu silerek normalleştirir ;ancak ters proxy, kötü amaçlı URL’yi olduğu gibi göndererek yol geçişine izin verir.
Saldırgan, GoAnywhere’i ilk kurulumdan sonra sihirbazın etkinleştirilmesini durdurmayı amaçlayan bir filtreyi atlayarak, ilk hesap kurulum sihirbazını çağırmaya zorlamak için özel karakterleri kullanır.
Hanley, ideal bir dünyada geliştiricilerin özel karakterleri içeren URL’lerin Tomcat ortamlarında yürütülmesini reddedeceğini, ancak Tomcat geliştiricilerinin URL’leri denetleme kontrolünün olmamasının mümkün olduğunu söyledi. “İstekleri Tomcat uygulamalarına yönlendirmek için tek bir çerçeve kullanıyor olabilirler ve trafiği denetleyebilecekleri veri akışında yalnızca Tomcat üzerinde bir uygulama oluşturmamış olabilirler” dedi.
“Bu karmaşık” diye ekledi. “Gerçekten çok karmaşık.”