Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Эксплойт для обхода аутентификации в GoAnywhere MFT | Блог Касперского

Эксплойт для обхода аутентификации в GoAnywhere MFT | Блог Касперского

Появился эксплойт для критической уязвимости, которая позволяет обходить аутентификацию в ПО для управляемой передачи файлов Fortra GoAnywhere MFT.

Исследователи проанализировали уязвимость CVE-2024-0204 в программном обеспечении для управляемой передачи файлов Fortra GoAnywhere MFT и опубликовали код эксплойта, который позволяет ею воспользоваться. Рассказываем, в чем опасность и что по этому поводу следует предпринять организациям, использующим это ПО.

В чем суть уязвимости CVE-2024-0204 в GoAnywhere MFT

Для начала вкратце опишем историю приключений вокруг данной уязвимости в GoAnywhere. На самом деле компания Fortra, которая разрабатывает это решение, закрыла эту дыру еще в начале декабря 2023 года, выпустив версию GoAnywhere MFT 7.4.1. Однако тогда в компании решили не публиковать информацию об уязвимости, ограничившись рассылкой рекомендаций клиентам.

Суть уязвимости состоит вот в чем. После того как клиент заканчивает первичную настройку GoAnywhere, внутренняя логика продукта исключает доступ к странице первоначальной настройки аккаунта. При попытке доступа к этой странице происходит перенаправление либо на панель администрирования (если пользователь аутентифицирован как администратор), либо на страницу аутентификации.

Однако, как установили исследователи, можно использовать альтернативный путь к файлу InitialAccountSetup.xhtml, который не учитывается логикой переадресации. В этом случае GoAnywhere MFT позволяет получить доступ к этой странице и создать нового пользователя с правами администратора.

В качестве доказательства осуществимости атаки исследователи написали и опубликовали короткий скрипт, который позволяет создавать admin-аккаунты в уязвимых версиях GoAnywhere MFT. Все, что для этого нужно, это задать имя нового аккаунта, пароль (единственное ограничение — не менее 8 символов, что само по себе интересно) и путь:

Часть кода эксплойта для уязвимости CVE-2024-0204 в Fortra GoAnywhere MFT

Часть кода эксплойта для уязвимости CVE-2024-0204. Красным выделен альтернативный путь к странице первоначальной настройки, позволяющей создавать пользователей с правами администратора

В целом эта уязвимость крайне напоминает ту, что была обнаружена в Atlassian Confluence Data Center и Confluence Server несколько месяцев назад, — там тоже с помощью нехитрых манипуляций можно было получить возможность создания admin-аккаунтов.

Компания Fortra назначила уязвимости CVE-2024-0204 статус «критической» со счетом 9,8 из 10 по CVSS 3.1.

Следует добавить немного контекста. В 2023 году ransomware-группировка Clop уже использовала уязвимости в Fortra GoAnywhere MFT и похожих продуктах других разработчиков — Progress MOVEit, Accellion FTA и SolarWinds Serv-U — для атак на сотни организаций по всему миру. В частности, от эксплуатации уязвимости в GoAnywhere MFT тогда пострадали компания Procter & Gamble, одна из крупнейших сетей больниц в США Community Health Systems (CHS) и муниципалитет Торонто.

Как защититься от эксплуатации CVE-2024-0204

Очевидный способ защиты от эксплуатации данной уязвимости — это обновление GoAnywhere MFT до версии 7.4.1, в которой исправлена логика запрета доступа к странице InitialAccountSetup.xhtml.

Если же по каким-то причинам обновление неосуществимо, можно использовать несложные обходные маневры:

  • Удалить файл InitialAccountSetup.xhtml в установочной папке и перезагрузить сервис.
  • Заменить InitialAccountSetup.xhtml пустым файлом и опять-таки перезагрузить сервис.

В свою очередь, чтобы отслеживать подозрительную активность в корпоративной сети, следует использовать решения класса EDR. Если же у собственной ИБ-команды не хватает для этого квалификации или ресурсов, можно воспользоваться услугами внешнего сервиса для непрерывного поиска угроз, направленных на вашу организацию, и своевременного реагирования на них.


Источник: Лаборатория Касперского

26.01.2024