Güvenlik araştırmacısı Brian Krebs tarafından Mastodon’da yayınlanan bir uyarıya göre, Fortra’nın GoAnywhere MFT ile yönetilen dosya aktarımı çözümünün şirket içi örneklerini etkileyen sıfırıncı gün güvenlik açığından aktif olarak yararlanıldı.
GoAnywhere, işletmelerin şifrelenmiş verileri iş ortaklarıyla güvenli bir şekilde paylaşmasına ve dosya erişiminin kapsamlı denetim günlüklerini tutmasına olanak tanıyan güvenli bir web dosya aktarım uygulamasıdır.
Sorun, etkin bir şekilde yararlanmak için yönetici konsolu erişimi gerektiren bir uzaktan kod enjeksiyon hatasıdır.
GoAnywhere güvenlik danışma belgesine göre “GoAnywhere MFT’de bir Zero-Day Remote Code Injection istismarı tespit edildi”.
“Bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilenler listesindeki IP adreslerinden (örneğin, bulut ortamlarında çalışırken) erişilebilir. Azure veya AWS).”
Güvenlik uzmanı Kevin Beaumont, kaç tane GoAnywhere örneğinin herkese açık internet olduğunu öğrenmek için Shodan’ı kullandı ve çoğu ABD’de olmak üzere 1.008 sunucu keşfetti.
Rapid7’ye göre, GoAnywhere MFT müşterileri, tüm yönetici hesaplarını doğrulamalı ve özellikle sistem tarafından oluşturulanlar olmak üzere tanıdık olmayan kullanıcı adlarına dikkat etmelidir.
Rapid7, “Alıntılanan Fortra danışma belgesi Krebs, GoAnywhere MFT müşterilerine tüm yönetici kullanıcıları gözden geçirmelerini ve özellikle sistem tarafından oluşturulanlar olmak üzere tanınmayan kullanıcı adlarını izlemelerini tavsiye ediyor” dedi.
“Mantıksal çıkarım, Fortra’nın muhtemelen savunmasız hedef sistemleri devralmak veya bu sistemlerde kalıcılığı sürdürmek için yeni yönetici veya diğer kullanıcıların oluşturulmasını içeren takip eden saldırgan davranışı görmesidir.”
BT güvenlik danışmanlığı şirketi Code White’ın güvenlik araştırmacısı Florian Hauser, Pazartesi günü savunmasız GoAnywhere MFT sunucularının kimliği doğrulanmamış uzaktan kod yürütmesine izin veren teknik bilgileri ve kavram kanıtı istismar kodunu açıkladı.
Hauser, “Önce müşterilerimizi korumak için ekip arkadaşlarıma aynı gün saatler içinde çalışan bir PoC (tweet’imin hash’ini ve zamanını karşılaştırın) sağlayabilirim” dedi.
“Bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilenler listesindeki IP adreslerinden (örneğin, bulut ortamlarında çalışırken) erişilebilir. Azure veya AWS”, Fortra’yı açıklayın.
Bununla birlikte, bir Shodan taraması, 8000 ve 8001 bağlantı noktalarında (savunmasız yönetici konsolu tarafından kullanılanlar) yaklaşık 140’tan fazla olmak üzere, İnternette yaklaşık 1.000 GoAnywhere bulut sunucusunun açık olduğunu ortaya koyuyor.
Firma, bu uzaktan kimlik doğrulama öncesi RCE güvenlik zayıflığını henüz kamuoyuna açıklamadı. Bu nedenle, uyarıyı okumak için önce ücretsiz bir hesaba kaydolmanız gerekir ve güvenlik açığını gidermek için güvenlik yükseltmeleri yayınlamadığınızda, açığa çıkan tüm kurulumlar saldırılara maruz kalmaya devam eder.
Fortra, “Bu yığın izleme günlüklerdeyse, büyük olasılıkla bu sistem saldırıların hedefi olmuştur” diyor.
Bununla birlikte, güvenliği ihlal edilmiş sistemlerin günlüklerinde görünen belirli bir yığın izleme, özel danışma belgesinde listelenen risk göstergelerinden biridir.
Azaltma
Şirket, GoAnywhere MFT yönetici arabirimine erişimi yetkili kullanıcılarla kısıtlamak için erişim denetimlerini devreye sokmak veya lisanslama hizmetini kapatmak gibi hafifletme rehberliği sunuyor.
Yöneticiler, lisanslama sunucusunu durdurmak için Lisans Yanıtı Servlet’in sunucu uygulaması eşleme ayarını web.xml dosyasından kaldırmalı veya yorum yapmalıdır.
Güncellenen yapılandırma yalnızca yeniden başlatmanın ardından kullanılabilir.
Fortra bu güncellemeyi bir Cumartesi güncellemesinde “Ortamınızdaki verilere erişilebileceği veya dışa aktarılabileceği gerçeği nedeniyle, ortamdaki diğer sistemler için kimlik bilgileri depolayıp kaydetmediğinizi belirlemeli ve bu kimlik bilgilerinin iptal edildiğinden emin olmalısınız.”
“Bu, GoAnywhere’in entegre olduğu herhangi bir harici sisteme erişmek için kullanılan şifreleri ve anahtarları içerir.
“Bu harici sistemlerden tüm kimlik bilgilerinin iptal edildiğinden emin olun ve bu sistemlerle ilgili erişim günlüklerini inceleyin. Buna sistem içindeki dosyaları şifrelemek için kullanılan şifreler ve anahtarlar da dahildir.”
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin