Вече е наличен код за експлойт за критична уязвимост в заобикалянето на удостоверяването в софтуера GoAnywhere MFT (Managed File Transfer) на Fortra, която позволява на атакуващите да създават нови потребители на администратора в непоправени екземпляри чрез портала за администриране.

GoAnywhere MFT е уеб-базиран инструмент за управляван трансфер на файлове, който помага на организациите да прехвърлят файлове по сигурен начин с партньори и да водят одиторски дневници за това кой е имал достъп до всички споделени файлове.

Въпреки че Fortra тихомълком поправи грешката (CVE-2024-0204) на 7 декември с пускането на GoAnywhere MFT 7.4.1, компанията я разкри публично едва днес в консултация, предлагаща ограничена информация (повече подробности са налични в частна консултация за клиенти).

Въпреки това Fortra издаде и частни съвети до клиентите на 4 декември, преди да отстрани дефекта, като ги призова да защитят своите MFT услуги, за да запазят данните си в безопасност.

На администраторите, които все още не са и не могат да обновят незабавно до последната версия, се препоръчва да премахнат вектора на атака, като:

• Изтрият на файла InitialAccountSetup.xhtml в инсталационната директория и рестартират на услугите.
• Заменят на файла InitialAccountSetup.xhtml с празен файл и рестартират на услугите.

Днес, почти седем седмици по-късно, изследователи по сигурността от екипа за атаки на Horizon3 публикуваха технически анализ на уязвимостта и споделиха доказателство за концепцията (PoC) за експлойт, който помага за създаване на нови администраторски потребители в уязвими инстанции на GoAnywhere MFT, изложени онлайн.

Техният експлойт се възползва от проблема с обхождането на пътища, който е в основата на CVE-2024-0204, за да получи достъп до уязвимата крайна точка /InitialAccountSetup.xhtml и да стартира екрана за първоначална настройка на акаунта (който не би трябвало да е достъпен след процеса на настройка на сървъра), за да създаде нов администраторски акаунт.

„Най-лесният индикатор за компрометиране, който може да бъде анализиран, е за всички нови попълнения в групата „Admin users“ (Потребители администратори) в раздела Users -> Admin Users (Потребители администратори) на администраторския портал GoAnywhere“, казва Зак Ханли, главен инженер по атаките в Horizon3.

„Ако нападателят е оставил този потребител тук, може да успеете да наблюдавате последната му активност при влизане в системата, за да определите приблизителната дата на компрометиране.“

Експлойтът е използван за създаване на нови потребители администратори на GoAnywhere MFT (Horizon3)

Сега обаче, след като Horizon3 пусна PoC експлойт, е много вероятнозаплахите да започнат да сканират и компрометират всички екземпляри на GoAnywhere MFT, които са останали непоправени.

Кампания за пробив в GoAnywhere MFT на Clop

Бандата Clop ransomware наруши над 100 организации, като използва критичен недостатък за отдалечено изпълнение на код (CVE-2023-0669) в софтуера GoAnywhere MFT.

Атаките на Clop започнаха на 18 януари 2023 г., а Fortra откри, че недостатъкът се използва за пробив на защитените файлови сървъри на клиентите ѝ на 3 февруари.

Списъкът на жертвите, които се обявиха след пробив и изнудване от Clop, включва, но не се ограничава до здравния гигант Community Health Systems (CHS), гиганта за потребителски стоки Procter & Gamble, фирмата за киберсигурност Rubrik, Hitachi Energy, финтех платформата Hatch Bank, търговската верига на луксозни марки Saks Fifth Avenue и град Торонто, Канада.

Участието на Клоп в миналогодишната кампания за кражба на данни е част от много по-широк модел на насочване към платформи за ДМП през последните години.

Другите случаи включват пробива на сървърите на Accellion FTA през декември 2020 г., на сървърите на SolarWinds Serv-U през 2021 г. и широко разпространената експлоатация на сървърите на MOVEit Transfer от 27 май 2023 г.