Fortra GoAnywhere yönetimli dosya aktarımı (MFT) aracındaki sıfır günün, siber saldırılarda artışa ve Clop (diğer adıyla Cl0p) fidye yazılımı çetesinin küresel kötü şöhretine yol açmasının üzerinden yalnızca 12 ay geçti; bu popüler hizmetin kullanıcılarına, kendilerini çelikleştirmeleri tavsiye ediliyor. üründe yeni keşfedilen kritik bir kusura karşı.
Mısır merkezli Spark Engineering Consultants’tan güvenlik araştırmacıları Mohammed Eldeeb ve İslam Elrfai’ye atfedilen CVE-2024-0204, Fortra GoAnywhere MFT’de 7.4.1’den önceki sürümlerde bulunan, uzaktan yararlanılabilen bir kimlik doğrulama atlama hatasıdır.
Tedavi edilmediği takdirde, yetkisiz bir kullanıcının yönetim portalı aracılığıyla bir yönetici kullanıcı oluşturmasına olanak tanıyabilir; bu, kurban ortamında kalıcılık sağlamak isteyen bir fidye yazılımı çetesi için büyük değer taşıyacak bir şeydir.
Fortra’ya göre kullanıcılar, GoAnywhere’in 7.4.1 sürümüne veya daha yüksek bir sürüme yükseltme yaparak sorunu hafifletebilirler. Ayrıca kullanıcılar, yükleme dizinindeki InitialAccountSetup.xhtml dosyasını silerek ve ardından hizmeti yeniden başlatarak, kapsayıcı dışı dağıtımlarda güvenlik açığının etkisini azaltabilir. Kapsayıcılara dağıtılan örnekler için bu dosyanın boş bir dosyayla değiştirilmesi gerekir, ardından hizmet yeniden başlatılabilir.
Geciken açıklama soruları artırıyor
Fortra’nın konunun ayrıntılarını yayınlamasının hemen ardından, kamuyu aydınlatma sürecindeki altı haftalık görünür gecikmeyle ilgili sorular sorulmaya başlandı. Rapid7’nin güvenlik açığı araştırması ve istihbarat direktörü Caitlin Condon, tutarsızlığı fark edenler arasındaydı.
“Fortra, GoAnywhere MFT’nin 7 Aralık 2023 sürümünde bu güvenlik açığını açıkça ele aldı, ancak şu ana kadar bir tavsiye yayınlamadıkları görülüyor. Bir ekran görüntüsüne göre Güvenlik açığını keşfeden araştırmacı Mohammed Eldeeb’in talimatıyla, 4 Aralık civarında GoAnywhere MFT müşterilerine özel iletişimler gönderildi” diye yazdı bir blog yazısında.
Condon şunları ekledi: “Şubat 2023’te, GoAnywhere MFT’deki sıfır gün güvenlik açığı (CVE-2023-0669), Cl0p fidye yazılımı grubu tarafından yürütülen büyük ölçekli bir gasp kampanyasında istismar edildi. Fortra’nın ilk tavsiyesinde CVE-2024-0204’ün doğada istismar edilip edilmediği belli değil, ancak özellikle düzeltmenin daha fazla bilgi için tersine mühendislik için mevcut olması nedeniyle halihazırda saldırıya uğramadıysa güvenlik açığının hızlı bir şekilde hedeflenmesini bekliyoruz. bir aydan fazla. Rapid7, GoAnywhere MFT müşterilerine acil eyleme geçmelerini şiddetle tavsiye ediyor.”
Buna ek olarak, Horizon3.ai kırmızı takım üyesi ve baş saldırı mühendisi Zach Hanley, CVE-2024-0204’e yönelik kavram kanıtlama istismarının ayrıntılarını yayınladı ve bunun Fortra GoAnywhere’deki yol geçiş zayıflığından nasıl kaynaklandığını ayrıntılarıyla anlattı. ek kullanıcılar oluşturmak için bundan yararlanmak.
Kavram kanıtı istismarının varlığı, henüz güncelleme yapmamış ve örnekleri kamuya açık olan Fortra GoAnywhere kullanıcıları için potansiyel tehlikeyi artırıyor. Bu yazının yazıldığı sırada kaç tane savunmasız örneğin mevcut olabileceği bilinmiyor.
Hanley ayrıca güvenlik ekiplerinin dikkat etmesi gereken potansiyel tehlike göstergelerini (IoC’ler) de özetledi. Bunlardan en belirgin olanı, GoAnywhere yönetici portalındaki Yönetici Kullanıcılar grubuna potansiyel olarak bilinmeyen yeni hesapların eklenmesi olacaktır, ancak araştırmacılar aynı zamanda şu konumda bulunan günlükleri de incelemek isteyebilir: \GoAnywhere\userdata\database\goanywhere\log \*.log – olası değişiklikler için.