GoAnywhere MFT es el nombre que Fortra da a su solución de envío de archivos de forma segura.
Esta permite el intercambio de ficheros entre distintas organizaciones añadiendo una capa extra de seguridad y control para cumplir con los requisitos legales y de auditoría. Los sistemas MFT (Managed File Transfer) son un objetivo central para APTs y atacantes en general, debido a que dan acceso a gran cantidad de información confidencial, propiedad intelectual, registros financieros, etc.
La vulnerabilidad publicada por el propio fabricante el pasado 22 de enero, se ha catalogado como CVE-2024-0204. Tiene una criticidad de 9.8 sobre 10 en el sistema de puntuación CVSS(v3). Esta puntuación tan elevada se debe a que el fallo de seguridad es explotable de manera remota y permite a un usuario no autorizado crear nuevos usuarios con permisos de administrador desde el portal de gestión del producto.
Ni que decir tiene que es absolutamente crucial aplicar la última actualización, GoAnywhere MFT 7.4.1. disponible desde el 7 de diciembre. Además, Fortra proporciona dos alternativas si no es posible aplicar la actualización. O bien eliminar el fichero InitialAccountSetup.xhtml en el directorio de instalación y reiniciar los servicios. O bien reemplazar ese mismo fichero con uno vacío y reiniciar.
No hay indicios de que la vulnerabilidad esté siendo explotada, pero ya existe PoC
Si bien ya existe una PoC, Bleeping Computer indica que Fortra no tiene constancia de que la vulnerabilidad esté siendo activamente explotada. Los primeros en proporcionar la prueba de concepto han sido los investigadores de Horizon3 Attack Team. La mención al fichero InitialAccountSetup.xhtml les dió la pista inicial. En su publicación detallan su investigación hasta conseguir la explotación, aprovechando un fallo de path traversal. El equipo ha publicado también en su Github un sencillo script para aprovechar la vulnerabilidad.
Las versiones afectadas son GoAnywhere MFT 6.X desde 6.0.1 y las anteriores a 7.4.0. La forma más sencilla de comprobar si un sistema ha sido comprometido, de acuerdo a los investigadores de Horizon3 Attack Team, es verificar si hay nuevos usuarios añadidos al grupo de Admin Users. Una vez localizadas, examinando las fechas de acceso al sistema de estas cuentas sería posible estimar una fecha de compromiso.
Más información:
- https://www.bleepingcomputer.com/news/security/fortra-warns-of-new-critical-goanywhere-mft-auth-bypass-patch-now/
- https://thehackernews.com/2024/01/patch-your-goanywhere-mft-immediately.html
- https://www.horizon3.ai/cve-2024-0204-fortra-goanywhere-mft-authentication-bypass-deep-dive/
- https://www.fortra.com/security/advisory/fi-2024-001
- https://github.com/horizon3ai/CVE-2024-0204
Deja una respuesta