Търсене
Close this search box.

Публикуван е експлойт за грешката Fortra GoAnywhere MFT auth bypass

Вече е наличен код за експлойт за критична уязвимост в заобикалянето на удостоверяването в софтуера GoAnywhere MFT (Managed File Transfer) на Fortra, която позволява на атакуващите да създават нови потребители на администратора в непоправени екземпляри чрез портала за администриране.

GoAnywhere MFT е уеб-базиран инструмент за управляван трансфер на файлове, който помага на организациите да прехвърлят файлове по сигурен начин с партньори и да водят одиторски дневници за това кой е имал достъп до всички споделени файлове.

Въпреки че Fortra тихомълком поправи грешката (CVE-2024-0204) на 7 декември с пускането на GoAnywhere MFT 7.4.1, компанията я разкри публично едва днес в консултация, предлагаща ограничена информация (повече подробности са налични в частна консултация за клиенти).

Въпреки това Fortra издаде и частни съвети до клиентите на 4 декември, преди да отстрани дефекта, като ги призова да защитят своите MFT услуги, за да запазят данните си в безопасност.

На администраторите, които все още не са и не могат да обновят незабавно до последната версия, се препоръчва да премахнат вектора на атака, като:

  • Изтрият на файла InitialAccountSetup.xhtml в инсталационната директория и рестартират на услугите.
  • Заменят на файла InitialAccountSetup.xhtml с празен файл и рестартират на услугите.

 

Днес, почти седем седмици по-късно, изследователи по сигурността от екипа за атаки на Horizon3 публикуваха технически анализ на уязвимостта и споделиха доказателство за концепцията (PoC) за експлойт, който помага за създаване на нови администраторски потребители в уязвими инстанции на GoAnywhere MFT, изложени онлайн.

Техният експлойт се възползва от проблема с обхождането на пътища, който е в основата на CVE-2024-0204, за да получи достъп до уязвимата крайна точка /InitialAccountSetup.xhtml и да стартира екрана за първоначална настройка на акаунта (който не би трябвало да е достъпен след процеса на настройка на сървъра), за да създаде нов администраторски акаунт.

„Най-лесният индикатор за компрометиране, който може да бъде анализиран, е за всички нови попълнения в групата „Admin users“ (Потребители администратори) в раздела Users -> Admin Users (Потребители администратори) на администраторския портал GoAnywhere“, казва Зак Ханли, главен инженер по атаките в Horizon3.

„Ако нападателят е оставил този потребител тук, може да успеете да наблюдавате последната му активност при влизане в системата, за да определите приблизителната дата на компрометиране.“

GoAnywhere MFT hacked

Експлойтът е използван за създаване на нови потребители администратори на GoAnywhere MFT (Horizon3)

Сега обаче, след като Horizon3 пусна PoC експлойт, е много вероятнозаплахите да започнат да сканират и компрометират всички екземпляри на GoAnywhere MFT, които са останали непоправени.

Кампания за пробив в GoAnywhere MFT на Clop

Бандата Clop ransomware наруши над 100 организации, като използва критичен недостатък за отдалечено изпълнение на код (CVE-2023-0669) в софтуера GoAnywhere MFT.

Атаките на Clop започнаха на 18 януари 2023 г., а Fortra откри, че недостатъкът се използва за пробив на защитените файлови сървъри на клиентите ѝ на 3 февруари.

Списъкът на жертвите, които се обявиха след пробив и изнудване от Clop, включва, но не се ограничава до здравния гигант Community Health Systems (CHS), гиганта за потребителски стоки Procter & Gamble, фирмата за киберсигурност Rubrik, Hitachi Energy, финтех платформата Hatch Bank, търговската верига на луксозни марки Saks Fifth Avenue и град Торонто, Канада.

Участието на Клоп в миналогодишната кампания за кражба на данни е част от много по-широк модел на насочване към платформи за ДМП през последните години.

Другите случаи включват пробива на сървърите на Accellion FTA през декември 2020 г., на сървърите на SolarWinds Serv-U през 2021 г. и широко разпространената експлоатация на сървърите на MOVEit Transfer от 27 май 2023 г.

 

Източник: По материали от Интернет

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
20/03/2024

Новият инструмент на GitHub...

GitHub представи нова функция с изкуствен...
20/03/2024

Ivanti отстрани критична гр...

Ivanti предупреди клиентите си незабавно да...
14/03/2024

Fortinet предупреждава за к...

Fortinet поправи критична уязвимост в софтуера...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!