Bir B2B yönetim dosya aktarım yazılımı olan GoAnywhere’deki bir hata, yama yapılmadan bırakılırsa ciddi bir tedarik zinciri saldırısına yol açabilir. Şimdi güncelle!
GoAnywhere MFT yönetici konsolunda bulunan ve aktif olarak yararlanılan bir sıfır gün güvenlik açığı için bir acil durum yaması (7.1.2) yayınlandı.
Yönetilen dosya aktarımı anlamına gelen GoAnywhere MFT, işletmelerin dosyaları güvenli ve uyumlu bir şekilde yönetmesine ve değiş tokuş etmesine olanak tanıyan bir yazılım çözümüdür. Web sitesine göre, çoğu 10.000’den fazla çalışanı ve 1 milyar ABD doları geliri olan 3.000’den fazla kuruluşa hitap ediyor.
Bu organizasyonlardan bazıları hayati altyapıların parçasıdır; yerel yönetimler, finans şirketleri, sağlık kuruluşları, enerji firmaları gibi; ve teknoloji üreticileri. GoAnywhere istismarından kaynaklanan bir ihlal, ciddi bir tedarik zinciri saldırısına yol açacaktır.
GoAnwhere MFT ve Cobalt Strike’ın arkasındaki şirket olan Fortra (eski adıyla HelpSystems), güvenlik açığını nihayet güvence altına almak için yamayı yayımladı; bu, bir saldırganın yönetici konsolunun halka açık internette erişilebilir olduğu durumlarda kimliği doğrulanmamış uzaktan kod yürütmesine olanak tanır. Florian Hauser (@frycos), Code White’daki BT güvenlik danışmanı, Pazartesi günü güvenlik açığı için bir kavram kanıtı (PoC) istismarı yayınladı.
KrebsOnSecurity’den Brian Krebs, Fortra’nın yalnızca ücretsiz bir hesap oluşturarak erişilebilen danışma belgesinde söylediklerini nezaketle paylaştı:
“Bu açıktan yararlanmanın saldırı vektörü, uygulamanın yönetim konsoluna erişim gerektirir; bu konsola çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilenler listesindeki IP adreslerinden (örneğin, bulut ortamlarında çalışırken) erişilebilir. Azure veya AWS).” Bununla birlikte, internete bağlı cihazlar için arama motoru olan Shodan kullanılarak yapılan bir tarama, çoğunluğu Avrupa ve ABD’de bulunan, aşağı yukarı bin açığa çıkmış GoAnywhere yönetici paneli örneğini ortaya çıkardı.
Güvenlik uzmanı Kevin Beaumont biraz araştırma yaptıktan sonra Shodan sonuçları geldi. GoAnywhere yönetici konsollarının 8000 ve 8001 bağlantı noktalarını kullandığını söyledi. (Kaynak: Mastadon’dan Kevin Beaumont)
Fortra, müşterilerini acil durum yaması 7.1.2’yi olabildiğince çabuk uygulamaya çağırıyor. Herhangi bir nedenle yapamıyorsanız Fortra, yönetici konsolu arayüzüne yalnızca güvenilir kaynaklardan erişilmesi gereken bazı erişim kontrollerinin uygulanmasını veya lisanslama hizmetinin tamamen devre dışı bırakılmasını içeren, günler önce ortaya koyduğu hafifletme adımlarını izlemeniz gerektiğini söylüyor. Danışma belgesinde paylaşılan bir teknik azaltma yapılandırması da vardır.
Ayrıca istemciler, saldırganların sistemlerini zaten tehlikeye attığından şüphelenirlerse, azaltma adımlarını uyguladıktan sonra aşağıdaki ek adımları uygulamalıdır:
- Ana şifreleme anahtarını döndürün.
- Kimlik bilgilerini sıfırlayın.
- Denetim günlüklerini inceleyin ve şüpheli yönetici veya kullanıcı hesaplarını silin.
- Portalına giderek, teknisyenlere [email protected] adresinden e-posta göndererek veya 402-944-4242 numaralı telefondan arayarak Fortra desteğiyle iletişim kurun.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.