Fortra ha informado de una nueva vulnerabilidad de omisión de autenticación que afecta a GoAnywhere MFT (Managed File Transfer) en versiones anteriores a la 7.4.1, que permite a un atacante crear un nuevo usuario administrador.
GoAnywhere MFT es utilizado por organizaciones de todo el mundo para transferir archivos de forma segura con clientes y socios comerciales. Es compatible con protocolos de cifrado seguro, automatización, control centralizado y diversas herramientas de registro y generación de informes que contribuyen al cumplimiento de la legislación y la auditoría.
El fallo recientemente revelado figura en la lista como CVE-2024-0204 y está clasificado como crítico con una puntuación CVSS v3.1 de 9,8 porque se puede explotar de forma remota, lo que permite a un usuario no autorizado crear usuarios administradores a través del portal de administración del producto.
La creación de cuentas arbitrarias con privilegios administrativos puede llevar a la toma completa del dispositivo. En el caso de Go Anywhere MFT, esto permitiría a los atacantes acceder a datos confidenciales, introducir malware y, potencialmente, permitir nuevos ataques dentro de la red.
La vulnerabilidad afecta a Fortra GoAnywhere MFT 6.x a partir de 6.0.1 y Fortra GoAnywhere MFT 7.4.0 y anteriores y ha sido parcheada en GoAnywhere MFT 7.4.1, publicado el 7 de diciembre de 2023. Fortra aconseja a todos los usuarios que instalen la última actualización (actualmente 7.4.1) para solucionar la vulnerabilidad.
Fortra también proporciona las siguientes dos rutas de mitigación manual en el aviso:
- Elimine el archivo InitialAccountSetup.xhtml del directorio de instalación y reinicie los servicios.
- Sustituya el archivo InitialAccountSetup.xhtml por un archivo vacío y reinicie los servicios.
Cabe señalar que CVE-2024-0204 fue descubierto el 1 de diciembre de 2023 por Mohammed Eldeeb e Islam Elrfai de Spark Engineering Consultants. Dicho esto, ha pasado mucho tiempo desde la divulgación inicial.
CiberNovedades se puso en contacto con el proveedor de software para averiguar si estaba siendo explotado activamente, y nos aseguraron que la empresa no había visto ningún intento.
No tenemos informes de operaciones activas en la naturaleza en relación con este CVE. Se corrigió en diciembre de 2023.
Fortra
Sin embargo, ahora que Fortra ha publicado medidas de mitigación y pistas sobre dónde buscar el fallo, no sería de extrañar que pronto se publicaran exploits PoC.
Ataques Clop GoAnywhere MFT
A principios de 2023, se reveló que la banda de ransomware Clop había atacado a 130 empresas y organizaciones aprovechando un fallo crítico de ejecución remota de código en GoAnywhere MFT.
El fallo aparece en la lista como CVE-2023-0669 y ha sido explotado como una vulnerabilidad de día cero desde el 18 de enero de 2023. Fortra descubrió su explotación el 3 de febrero de 2023 y publicó parches tres días después.
Lamentablemente, el daño ya estaba hecho: Clop llevó a cabo ataques de robo de datos a gran escala que afectaron a organizaciones de todo el mundo, causando fugas de datos, daños a la reputación e interrupciones operativas.
Entre las principales víctimas de estos ataques figuran Crown Resorts, CHS, Hatch Bank, Rubrik, la ciudad de Toronto, Hitachi Energy, Procter & Gamble y Saks Fifth Avenue.
Fortra se ha mantenido hermética ante las peticiones de la prensa de detalles sobre la situación y no hizo públicos los resultados de su investigación interna hasta mediados de abril de 2023.
Actualización 1/23 – Declaración de Fortra añadida