Panaliti parantos nganalisis kerentanan CVE-2024-0204 di Fortra GoAnywhere MFT software (MFT nangtung pikeun mindahkeun file junun) jeung diterbitkeun kode mangpaatkeun nu exploits eta. Kami ngajelaskeun bahaya, sareng naon anu kedah dilakukeun ku organisasi anu nganggo parangkat lunak ieu.

CVE-2024-0204 kerentanan dina MFT GoAnywhere

Hayu urang mimitian ku nyarios sakedap carita kerentanan ieu di GoAnywhere. Nyatana, Fortra, perusahaan anu ngembangkeun solusi ieu, nambal kerentanan ieu dina awal Désémber 2023 kalayan sékrési GoAnywhere MFT 7.4.1. Nanging, dina waktos éta perusahaan milih henteu ngungkabkeun inpormasi ngeunaan kerentanan, sareng ngawatesan diri pikeun ngirim saran pribadi ka klien.

Intina karentanan nyaéta kieu. Saatos pangguna ngalengkepan setelan awal GoAnywhere, logika internal produk ngablokir aksés ka halaman setelan akun awal. Teras nalika aranjeunna nyobian ngaksés halaman ieu, aranjeunna dialihkeun ka panel admin (upami dioténtikasi salaku administrator) atanapi ka halaman auténtikasi.

Tapi, panalungtik manggihan yén jalur alternatif pikeun file InitialAccountSetup.xhtml bisa dipaké, nu teu accounted pikeun logika alihan. Dina skenario ieu, MFT GoAnywhere ngamungkinkeun saha waé pikeun ngaksés halaman ieu sareng ngadamel akun pangguna énggal kalayan hak administrator.

Salaku bukti kamungkinan serangan, panalungtik nyerat sareng nyebarkeun naskah pondok anu tiasa nyiptakeun akun admin dina versi MFT GoAnywhere anu rentan. Sadaya anu dipikabutuh ku panyerang nyaéta nangtukeun nami akun énggal, kecap akses (hiji-hijina sarat nyaéta kecap konci ngandung sahenteuna dalapan karakter, anu pikaresepeun), sareng jalurna:

Bagian tina kode eksploitasi pikeun kerentanan CVE-2024-0204 di Fortra GoAnywhere MFT

Bagian tina kode eksploitasi pikeun kerentanan CVE-2024-0204. Disorot beureum mangrupikeun jalur alternatif pikeun halaman pangaturan akun awal anu ngamungkinkeun nyiptakeun pangguna kalayan hak administrator

Sacara umum, kerentanan ieu mirip pisan sareng anu kapanggih dina Atlassian Confluence Data Center sareng Confluence Server sababaraha bulan kapengker; Aya ogé kamungkinan nyieun hiji akun admin dina sababaraha léngkah basajan.

Fortra masihan kerentanan CVE-2024-0204 status “kritis”, kalayan skor CVSS 3.1 9.8 ti 10.

A konteks saeutik diperlukeun di dieu. Taun 2023, grup ransomware Clop ngeksploitasi kerentanan di Fortra GoAnywhere MFT ogé produk anu sami ti pamekar sanés – Progress MOVEit, Accellion FTA, sareng SolarWinds Serv-U – pikeun nyerang ratusan organisasi di sakuliah dunya. Khususna, perusahaan sapertos Procter & Gamble, Sistem Kaséhatan Komunitas (CHS, salah sahiji ranté rumah sakit panggedéna di AS), sareng kota Toronto ngalaman eksploitasi kerentanan MFT GoAnywhere.

Kumaha carana ngajaga ngalawan eksploitasi CVE-2024-0204

Cara anu écés pikeun ngajagaan tina eksploitasi kerentanan ieu nyaéta langsung ngamutahirkeun GoAnywhere MFT kana versi 7.4.1, anu ngalereskeun logika pikeun nolak aksés kana halaman InitialAccountSetup.xhtml.

Upami anjeun henteu tiasa masang apdet kusabab sababaraha alesan, anjeun tiasa nyobian salah sahiji tina dua solusi saderhana:

  • Pupus file InitialAccountSetup.xhtml dina polder pamasangan sareng balikan deui jasa;

atawa

  • Ganti InitialAccountSetup.xhtml sareng file kosong sareng balikan deui jasa.

Anjeun ogé kedah nganggo solusi EDR (Endpoint Detection and Response) pikeun ngawas kagiatan anu curiga dina jaringan perusahaan. Upami tim cybersecurity internal anjeun teu gaduh kaahlian atanapi sumber daya pikeun ngalakukeun ieu, anjeun tiasa nganggo jasa éksternal pikeun terus milarian ancaman ka organisasi anjeun sareng ngaréspon gancang.


#Eksploitasi #bypass #auténtikasi #GoAnywhere #MFT