22 Ocak 2024’te yazılım şirketi Fortra, müşterilerini GoAnywhere MFT’yi (Yönetilen Dosya Aktarımı) etkileyen ve bir saldırganın yeni bir yönetici kullanıcı oluşturmasına olanak tanıyan yeni bir kimlik doğrulama atlama güvenlik açığı konusunda uyardı.
Fortra GoAnywhere MFT, kuruluşların verilerini paylaşmak için kullandıkları bir dosya aktarım çözümüdür. Yerel yönetimler, finans şirketleri, sağlık kuruluşları, enerji firmaları ve teknoloji üreticileri gibi GoAnywhere MFT’yi kullanan kuruluşların bazıları hayati altyapı olarak kabul ediliyor.
Kusur, 6.0.1’den Fortra GoAnywhere MFT 6.x’i ve Fortra GoAnywhere MFT 7.4.0 ve önceki sürümlerini etkiliyor.
Müşteriler, güvenlik açığını düzeltmek için en son güncelleştirmeyi (şu anda 7.4.1’de) yüklemeli veya yükleme dizinindeki InitialAccountSetup.xhtml dosyasını silip hizmetleri yeniden başlatarak kapsayıcı dışı dağıtımlardaki güvenlik açığını ortadan kaldırmalıdır. Container’da dağıtılan örnekler için dosyayı boş bir dosyayla değiştirin ve yeniden başlatın. Ek bilgi için müşterilere yönelik bu danışma belgesine bakın (kayıt gereklidir).
Bu spesifik talimatların dağıtılmasıyla, yararlanma kodunun daha sonra değil, daha erken gelmesi beklenecekti. Gerçekten de araştırmacılar kusurlu dosyayı analiz etmekte ve bir açıktan yararlanma ve Kavram Kanıtı (PoC) kodu bulmakta hızlı davrandılar.
Fortra daha önce BleepingComputer’a bu güvenlik açığından yararlanan herhangi bir saldırı raporunun gelmediğini söyledi. Artık yararlanma kodunun hazır olması nedeniyle bu durum hızla değişebilir. Örneğinizin güvenliğinin ihlal edilip edilmediğini öğrenmek için, Yönetici Kullanıcılar GoAnywhere yönetici portalındaki grup Kullanıcılar -> Yönetici Kullanıcılar bölüm. Herhangi bir yeni ve bilinmeyen yönetici kullanıcı bir uzlaşma olduğunu belirtir ve oturum açma tarihi size uzlaşmanın zamanı hakkında bir fikir verecektir.
Ayrıca, veritabanında saklanan günlüklere de bakabilirsiniz. \GoAnywhere\userdata\database\goanywhere\log\*.log. Bu dosyalar veritabanının işlem geçmişini içerir; kullanıcıların eklenmesi bu günlüğe girişler oluşturacaktır.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güvenlik açığı şu şekilde listelenmiştir:
CVE-2024-0204: Fortra’nın 7.4.1 öncesi GoAnywhere MFT’sindeki kimlik doğrulama atlaması, yetkisiz bir kullanıcının yönetim portalı aracılığıyla bir yönetici kullanıcı oluşturmasına olanak tanıyor.
Temel olarak bu, saldırganların aşağıdaki gibi yol geçiş dizilerini girerek kısıtlı dosyaları okumasına ve yazmasına olanak tanıyan bir yol geçiş hatasıdır. ../ veya /..;/ dosya veya dizin yollarına.
Fortra GoAnywhere adının anılması güvenlik sensörlerinizi ürperttiyse, geçen yıl aynı yazılımdaki bir güvenlik açığının Clop fidye yazılımı çetesi tarafından istismar edildiği hatırlatılmış olabilir.
Geçen yılki güvenlik açığına ilişkin birçok uyarıya rağmen, yamanın kullanıma sunulmasından sonra bile çok sayıda mağduriyet yaşandı.
Umalım ki geçmişte yaptığımız hatalardan ders alabilelim.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.