.
Os especialistas em segurança não perdem tempo publicando explorações funcionais para uma vulnerabilidade crítica no Fortra GoAnywhere MFT, que foi divulgada publicamente há pouco mais de um dia.
Os clientes foram avisados pela primeira vez pela Fortra sobre as mitigações para a falha crítica de desvio de autenticação em dezembro, e isso não foi revelado publicamente por mais de um mês.
Pesquisadores da Horizon3 usaram as pistas deixadas no comunicado público do Fortra, publicado em 22 de janeiro, para desenvolver uma exploração funcional e demonstrar como novos usuários administradores poderiam ser criados por invasores não autenticados.
A exploração tem como alvo o endpoint vulnerável InitialAccountSetup.xhtml mencionado no comunicado de janeiro da Fortra para iniciar a página de configuração da conta de administrador. A vulnerabilidade, rastreada como CVE-2024-0204, pode ser explorada remotamente e atraiu uma classificação de gravidade de 9,8.
A exploração do Horizon3 aproveita as antigas fraquezas de travessia de caminho em aplicativos baseados em Tomcat, onde as solicitações para endpoints vulneráveis que contêm /..;/ permitir que invasores acessem páginas proibidas, como a página de criação de conta de administrador no GoAnywhere MFT.
Se invasores remotos explorarem a mesma técnica de passagem de caminho ao enviar o formulário para criar um novo usuário administrador, a conta será criada, concedendo privilégios de administrador aos bandidos.
Strong The One abordou o Fortra para obter uma declaração sobre a vulnerabilidade e a exploração emergente, mas não respondeu no momento da redação deste artigo.
Zach Hanley, engenheiro-chefe de ataque da Horizon3, disse que o indicador mais claro de comprometimento seria notar quaisquer novas adições ao grupo de usuários administradores no portal de administração GoAnywhere MFT.
“Se o invasor deixou este usuário aqui, você poderá observar sua última atividade de logon para avaliar uma data aproximada de comprometimento.”
Os logs do banco de dados também conterão históricos de transações, o que significa que vestígios de quaisquer novas contas de administrador criadas poderão ser encontrados lá, acrescentou.
As versões afetadas do GoAnywhere MFT incluem 6.x de 6.0.1 e 7.x antes de 7.4.1, portanto, é uma boa ideia atualizar para pelo menos a versão 7.4.1 para evitar ataques bem-sucedidos.
Se os patches não puderem ser aplicados imediatamente por qualquer motivo, Fortra sugere excluir o arquivo InitialAccountSetup.xhtml em implantações que não sejam de contêiner e reiniciar os serviços. Para instâncias implantadas em contêiner, substituir o arquivo por um vazio e reiniciar os serviços deve atenuar o problema.
De acordo com a análise de tráfego da Internet da empresa Greynoise, não houve nenhuma tentativa de exploração detectada até o momento – um ponto que Fortra repetiu para a mídia em geral – mas com o código de prova de conceito disponível publicamente agora disponível, é apenas uma questão de tempo até que as tentativas de exploração comecem a se acumular no futuro próximo.
A própria Fortra fala alto e se orgulha de como alguns dos dados mais críticos do mundo são transferidos usando seu software. Entidades governamentais e organizações de infraestrutura crítica, como empresas de energia, por exemplo, dependem do GoAnywhere MFT, o que significa que explorações bem-sucedidas podem levar ao roubo de dados significativos.
Os observadores da indústria têm destacado a facilidade com que a vulnerabilidade pode ser explorada e o potencial para ataques de ransomware ou extorsão também são evidentes, dada a natureza da vulnerabilidade e o histórico de ataques à MFT.
Os amantes das notícias da Infosec se lembrarão do desastre de segurança que a Fortra sofreu com o GoAnywhere MFT no ano passado, quando a empresa de crimes cibernéticos Clop começou a explorar um dia zero para extorquir mais de 130 empresas, reivindicando alguns escalpos de alto perfil no processo.
Hitachi Energy, Proctor and Gamble e IT biz Rubrik estavam entre as principais vítimas de um ataque que foi um dos mais significativos do ano. Foi também um exemplo que exemplificou a mudança dos criminosos de ransomware para ataques apenas de extorsão – uma tendência que ganhou força no final de 2022 e realmente aumentou em 2023.
Mas não foi o primeiro ataque de Clop apenas de extorsão. Em 2020, começou a visar usuários do software de compartilhamento de arquivos da Accellion para roubar dados, exigindo resgate. Vítimas importantes também foram apanhadas no incidente, incluindo os advogados da IBM, Jones Day, a gigante aeroespacial Bombardier, Morgan Stanley, Shell e uma miscelânea de universidades dos EUA, entre muitas outras.
O último incidente do Fortra foi divulgado pela primeira vez aos clientes em um comunicado privado já em 4 de dezembro, de acordo com Informação compartilhado por Mohammed Eldeeb, um dos pesquisadores que descobriu o CVE-2024-0204.
Ao divulgar o incidente de forma privada, a Fortra provavelmente procurou evitar uma repetição do incidente Clop do ano passado, dando aos clientes uma ampla janela para garantir que sejam corrigidos antes que os invasores coloquem as mãos em uma exploração funcional.
Os ataques de Clop ao GoAnywhere MFT começaram há quase um ano, exatamente em janeiro de 2023, com o código do conceito de prova publicado online um dia antes do Fortra poder lançar seu patch no início de fevereiro.
Dado que a Horizon3 publicou a sua exploração poucas horas depois de o Fortra divulgar publicamente o problema, talvez a decisão de reter a divulgação não tenha sido uma má ideia. ®
.
