Fortra’nın GoAnywhere Yönetilen Dosya Aktarımı (MFT) yazılımında, neredeyse yedi hafta önce müşterileri tehdit hakkında sessizce bilgilendirdikten sonra 23 Ocak’ta kamuya açıkladığı neredeyse maksimum ciddiliğe yakın bir kusur için kavram kanıtlı bir istismar artık mevcut.
İstismarın serbest bırakılması, kusuru hedef alan toplu saldırıların yakında başlayacağının neredeyse kesin olduğu anlamına geliyor. Tenable’ın analiz ettiği telemetriye göre, GoAnywhere MFT varlıklarının yüzde 4’ünden azı sabit sürümler gibi görünüyor; bu da yüzde 96’dan fazlasının önemli ölçüde yüksek risk altında olduğu anlamına geliyor.
Geçtiğimiz yıl, Cl0p fidye yazılımı grubu, GoAnywhere’deki (CVE-2023-0669) bir uzaktan kod yerleştirme hatasından (başlangıçta sıfır gün olarak) yararlanarak, GoAnywhere’e ait sistemlere fidye yazılımı dağıttı. 130’dan fazla kuruluşProcter & Gamble, Hitachi Energy, Toronto şehri, Toplum Sağlığı Sistemleri ve Hatch Bank dahil.
Kimlik Doğrulama Baypas Kusuru
Yeni açıklanan CVE-2024-0204 6.0.1’den Fortra GoAnywhere MFT 6.x’i ve 7.4.1’den önceki Fortra GoAnywhere MFT 7.x’i etkileyen bir kimlik doğrulama atlama güvenlik açığıdır. Güvenlik açığı, kimliği doğrulanmamış uzaktaki bir saldırganın tipik kimlik doğrulama kontrollerini atlamasına ve yönetici düzeyinde ayrıcalıklara sahip olanlar da dahil olmak üzere yeni kullanıcı hesapları oluşturmasına olanak tanıyor. Fortra, güvenlik açığına 9,8 önem derecesi puanı atamıştır; bu, CVSS şiddet puanlama ölçeğinde mümkün olan maksimum 10’a yakındır.
Fortra, 7 Aralık 2023’te müşterilerini bu güvenlik açığı hakkında özel olarak bilgilendirdi ve iki hata avcısının sorunu şirkete bildirmesinin ardından bu güvenlik açığı için bir yama yayınladı. Fortra’nın 23 Ocak’ta hatayı açıklamasının ardından, araştırmacılar Horizon3.ai bir kavram kanıtlama istismarı yayınladı CVE-2024-0204 için güvenlik ihlali göstergeleri (IoC’ler) ve hatanın teknik ayrıntılarıyla birlikte. Bu istismar, bir saldırganın GoAnywhere MFT’nin güvenlik açığı bulunan örneklerine bir yönetici kullanıcı eklemek için güvenlik açığını nasıl kötüye kullanabileceğini gösteriyor.
Horizon3.ai, “Analiz edilebilecek en kolay tehlike göstergesi, GoAnywhere yönetici portalı Kullanıcılar -> Yönetici Kullanıcılar bölümündeki Yönetici Kullanıcılar grubuna yapılan yeni eklemeler içindir” dedi. “Saldırgan bu kullanıcıyı burada bıraktıysa, yaklaşık bir uzlaşma tarihini ölçmek için son oturum açma etkinliğini burada gözlemleyebilirsiniz.”
İstismar Edilmesi Önemsiz
Horizon3.ai’deki istismar geliştiricisi James Horseman, yeni güvenlik açığının istismar edilmesinin önemsiz olduğunu belirtti. “Bir saldırgan, Shodan veya benzer bir araç kullanarak GoAnywhere MFT örneklerini bulmak için İnternet’i kolayca tarayabilir” diyor. “Bundan sonra herhangi bir saldırgan, örneğin savunmasız olup olmadığını belirlemek için kolaylıkla istismarı deneyebilir.”
Binlerce kuruluş şu anda GoAnywhere MFT’yi, şirketin güvenli, tamamen şifrelenmiş ve denetlenebilir bir yöntem olarak tanımladığı şekilde geçici ve toplu dosya aktarımlarını yönetmek için kullanıyor. Şirket GoAnywhere kullanıcılarını tanımladım küçük kuruluşlardan Fortune 500 şirketlerine, kar amacı gütmeyen kuruluşlara ve devlet kurumlarına kadar çeşitlilik göstermektedir.
Tenable’ın kıdemli araştırma mühendisi Scott Caveza, GoAnywhere gibi yönetilen dosya aktarım teknolojilerinin saldırganlar için bir bilgi hazinesi olduğunu söylüyor. bir blog yazısı yayınladı CVE-2024-0204’te. “[The products are] Caveza, genellikle kuruluşlar tarafından bilgileri müşteriler, ortaklar ve iç paydaşlarla paylaşmanın hızlı ve kolay bir yolu olarak kullanıldığını belirtiyor. “Bu sistemlerde hassas bilgilerin bulunması muhtemeldir, bu da onları çok çekici bir hedef haline getiriyor.”
Cl0p fidye yazılımı grubunun 2023’teki GoAnywhere MFT kusuruna (CVE-2023-0669) saldırısı, en görünür tezahürler bu ilgiden. Saldırılar, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) ve FBI’ın bu güvenlik açığını bir rapora dahil etmesine yol açtı. Haziran 2023 tavsiyesi Cl0p fidye yazılımı tehdidi hakkında.
Caveza, kusuru hedef alan kişinin yalnızca Cl0p çetesi olmadığını söylüyor. “Cl0p fidye yazılımı varyantı en çok ilgiyi çekse ve yaygın olarak kullanılsa da, çeşitli üçüncü taraflardan BlackCat (ALPHV) ve LockBit’in de CVE-2023-0669’dan yararlanmış olabileceğini öne süren raporlar gördük” diyor. “Muhtemelen bu diğer gruplar, güvenlik açığı kamuya açıklandıktan sonra sömürülmeye başladı.”
Müşterilere Yama Yapma Zamanı Vermek
Fortra’nın yeni hatanın kamuya açıklanmasını birkaç hafta geciktirme kararı neredeyse kesinlikle müşterilere, saldırganlar her yere atlamaya başlamadan önce sorunu düzeltme fırsatı verme çabasından kaynaklanıyordu. Şirket, geçen yıl CVE-2023-0669 ile ilgili iletişimleri yönetme şekli nedeniyle bazı eleştirilere maruz kalmıştı. Aslında, siber güvenlik haber sitesi Krebs on Security, Fortra’nın hatayla ilgili tavsiyesini yayınlayana kadar çoğu insan tehditten haberdar bile olmadı.
Caveza, “Kamuya danışmanlık yapmadan önce müşterilerini özel olarak açıklama yaklaşımını benimseyen satıcıları gözlemledik, bu da karışık bir başarı elde etti” diyor. “Bir yandan müşterilerinize ayrıntılar kamuya açıklanmadan önce bir yama veya hafifletme uygulama şansı veriyor. Diğer yandan şeffaflığın olmaması kamu imajını etkileyebilir.”
Bu Horseman’ın da paylaştığı bir duygu. Bir kuruluş, açıklamayı geciktirerek müşterilere durumu hafifletmeleri ve hazırlanmaları için zaman tanır. Horseman, “Öte yandan, kullanıcılar kamuya açıklanmadan yama yapma aciliyetini hissetmeyebilirler” diyor. “Yama iş operasyonlarını aksatabilir ve ön planlama gerektirir. Satıcılar, kamuya açıklamayı geciktirerek, ne zaman yama yapılacağını belirlerken kullanılabilecek bilgileri kullanıcılardan saklıyor.”