Fortra, 7.4.1’den önceki GoAnywhere MFT (Yönetilen Dosya Aktarımı) sürümlerini etkileyen ve saldırganın yeni bir yönetici kullanıcı oluşturmasına olanak tanıyan yeni bir kimlik doğrulama atlama güvenlik açığı konusunda uyarıda bulunuyor.
GoAnywhere MFT, dünya çapındaki kuruluşlar tarafından müşterilerle ve iş ortaklarıyla aktarım dosyalarının güvenliğini sağlamak için kullanılıyor. Yasal uyumluluk ve denetime yardımcı olan güvenli şifreleme protokollerini, otomasyonu, merkezi kontrolü ve çeşitli günlük kaydı ve raporlama araçlarını destekler.
Yeni açıklanan kusur, CVE-2024-0204 olarak izleniyor ve uzaktan yararlanılabilir olduğundan CVSS v3.1 puanı 9,8 ile kritik olarak değerlendiriliyor ve yetkisiz bir kullanıcının ürünün yönetim portalı aracılığıyla yönetici kullanıcılar oluşturmasına olanak tanıyor.
Yönetici ayrıcalıklarına sahip rastgele hesaplar oluşturmak, cihazın tamamen ele geçirilmesine yol açabilir. Her Yere Git MFT durumunda bu, saldırganların hassas verilere erişmesine, kötü amaçlı yazılım bulaştırmasına ve potansiyel olarak ağ içinde daha fazla saldırı yapılmasına olanak tanıyacaktır.
Kusur, 6.0.1’den Fortra GoAnywhere MFT 6.x’i ve Fortra GoAnywhere MFT 7.4.0 ve önceki sürümlerini etkiliyor ve 7 Aralık 2023’te yayımlanan GoAnywhere MFT 7.4.1’de düzeltildi. Fortra, tüm kullanıcılara en son güncellemeyi (şu anda) yüklemelerini tavsiye ediyor 7.4.1) güvenlik açığını düzeltmek için.
Fortra ayrıca danışma belgesinde aşağıdaki iki manuel azaltma yolunu da sunmaktadır:
- Kurulum dizinindeki InitialAccountSetup.xhtml dosyasını silin ve hizmetleri yeniden başlatın.
- InitialAccountSetup.xhtml dosyasını boş bir dosyayla değiştirin ve hizmetleri yeniden başlatın.
Dikkat edilmesi gereken bir nokta, CVE-2024-0204’ün 1 Aralık 2023’te Spark Engineering Consultants’tan Mohammed Eldeeb ve Islam Elrfai tarafından keşfedilmiş olmasıdır. Bununla birlikte, ilk açıklamanın üzerinden önemli bir zaman geçti.
Fortra, güvenlik açığından aktif olarak yararlanılıp yararlanılmadığını açıklamadı. Ancak artık Fortra, hatanın nerede aranacağına dair bir ipucu ve hafifletici önlemler yayınladığına göre, PoC açıklarının yakında yayınlanması şaşırtıcı olmayacaktır.
BleepingComputer, yazılım satıcısıyla aktif olarak yararlanılıp yararlanılmadığı konusunda iletişime geçti ancak bize yanıt gelmedi.
Clop GoAnywhere MFT saldırıları
2023’ün başlarında, Clop fidye yazılımı çetesinin GoAnywhere MFT’deki kritik bir uzaktan kod yürütme kusurundan yararlanarak 130 şirket ve kuruluşa saldırı düzenlediği ortaya çıktı.
Kusur CVE-2023-0669 olarak izleniyor ve 18 Ocak 2023’ten bu yana sıfır gün güvenlik açığı olarak kullanılıyor. Fortra, bu istismarı 3 Şubat 2023’te keşfetti ve üç gün sonra yamaları yayınladı.
Ne yazık ki, Clop’un dünya çapındaki kuruluşları etkileyen, veri sızıntılarına, itibar kaybına ve operasyonel aksaklıklara neden olan yaygın veri hırsızlığı saldırıları gerçekleştirmesiyle hasar çoktan verilmişti.
Bu saldırıların bazı önemli kurbanları arasında Crown Resorts, CHS, Hatch Bank, Rubrik, Toronto Şehri, Hitachi Energy, Procter & Gamble ve Saks Fifth Avenue yer alıyor.
Fortra, durumla ilgili ayrıntılar için basından gelen taleplere karşı gizemli bir tutum sergiledi ve iç soruşturmasının sonuçlarını ancak Nisan 2023’ün ortasında bildirdi.
Yukarıdakileri göz önünde bulundurarak, Fortra GoAnywhere MFT kullanan kuruluşların mevcut güvenlik güncellemelerini ve önerilen hafifletme önlemlerini mümkün olan en kısa sürede uygulaması ve günlüklerini şüpheli etkinliklere karşı incelemesi gerekir.