Fortra’nın GoAnywhere MFT çözümündeki kritik bir güvenlik açığına (CVE-2024-0204) yönelik kavram kanıtlama (PoC) yararlanma kodu kamuoyuna açıklandı ve saldırganların yakında bundan faydalanabileceğine dair korkulara yol açtı.
Fortra’nın GoAnywhere MFT’si, her boyuttaki kuruluş tarafından yaygın olarak kullanılan, web tabanlı, yönetilen bir dosya aktarım çözümüdür.
2023’ün başlarında, Cl0P fidye yazılımı çetesi, 130’dan fazla kurban kuruluşun verilerini sızdırmak için aynı çözümdeki sıfır gün güvenlik açığından (CVE-2023-0669) yararlandı ve bunu, ödeme almamaları halinde bunu yayınlama tehditleriyle takip etti. ile.
CVE-2024-0204 Hakkında
CVE-2024-0204 bir kimlik doğrulama atlama güvenlik açığıdır: yetkisiz bir kullanıcının, çözümün yönetim portalı aracılığıyla bir yönetici kullanıcı oluşturmasına olanak tanır.
Fortra GoAnywhere MFT’nin 6.0.1’den sonraki 6.x sürümlerini ve 7.4.1’den önceki 7.x sürümlerini etkiler.
Bu sorun, 7 Aralık 2023’te yayımlanan 7.4.1 sürümünde, “yeni kullanıcılar oluşturmak için geçersiz erişime izin veren bir kimlik doğrulama atlama sorununun” düzeltildiğini belirten sürüm notlarıyla düzeltildi.
CVE-2024-0204, Spark Engineering Consultants’tan Mohammed Eldeeb ve İslam Elrfai tarafından Aralık 2023’ün başlarında özel olarak rapor edildi ve Fortra’nın GoAnywhere MFT müşterileri, güvenlik açığının nasıl düzeltileceğine ilişkin talimatların yer aldığı bir ön uyarı aldı.
“[The vulnerability] Şirket, bu durumun, önerilen bir yapılandırma olmayan, halka açık internete açık bir yönetici portalı çalıştıran müşteriler için özellikle riskli olduğunu belirtti.
22 Ocak Pazartesi günü Fortra nihayet, artık resmi olarak bir CVE numarasıyla tanımlanan güvenlik açığının varlığını belgeleyen, herkesin erişebileceği bir güvenlik tavsiyesi yayınladı.
Danışmanlık belgesi, müşterilerin kendi kendilerine barındırılan kurulumlarını 7.4.1 veya daha yüksek bir sürüme yükseltmelerini teşvik etti. “Güvenlik açığı, konteyner dışı dağıtımlarda da güvenlik açığının silinmesiyle ortadan kaldırılabilir. İlkHesapSetup.xhtml dosyayı kurulum dizinine yerleştirin ve hizmetleri yeniden başlatın. Konteynerde dağıtılan örnekler için dosyayı boş bir dosyayla değiştirin ve yeniden başlatın” diye eklediler.
CVE-2024-0204 için bir PoC mevcut
Horizon3.ai araştırmacıları 23 Ocak Salı günü güvenlik açığının teknik bir analizini ve güvenlik açığı bulunan Fortra GoAnywhere MFT kurulumuna yönetici kullanıcı eklemek için CVE-2024-0204’ü kullanan bir PoC komut dosyası yayınladı.
Forta’nın tavsiye belgesinde, saldırılarda yararlanılan güvenlik açığı hakkında hiçbir şey söylenmiyor, ancak tüm bu bilgiler artık kamuya açık olduğundan, saldırganların bu açığı hızla ele almasını bekleyebiliriz.
Ayrıca güvenlik araştırmacısı Kevin Beaumont’un da belirttiği gibi, güvenlik açığından yararlanmak inanılmaz derecede kolaydır. “Gaç almayı bekleyin” diye önceden uyardı.
Shodan arama motoru şu anda 1.800’den fazla internete açık Fortra GoAnywhere MFT yönetici portalını görüyor.
Etkilenen müşterilerin kurulumlarını zaten yükseltmiş olmaları umut edilse de kuruluşlar, bir güvenlik açığının aylarca aktif olarak kullanıldığı durumlarda bile GoAnywhere MFT’ye yama uygulamakta yavaş davrandılar.
Tenable’ın telemetrisi de çok düşük bir yükseltme oranı gösteriyor, ancak bazı kuruluşlar önce geçici çözümü uygulamış veya bunun yerine yönetici portalını genel internetten çekmiş olabilir.
Greynoise hala vahşi doğada CVE-2024-0204’ün istismar girişimlerini gözlemlemedi.