Publican exploit para el fallo de elusión de autenticación de Fortra GoAnywhere MFT

Ya está disponible el código de explotación para una vulnerabilidad crítica de omisión de autenticación en el software GoAnywhere MFT (Managed File Transfer) de Fortra que permite a los atacantes crear nuevos usuarios administradores en instancias no parcheadas a través del portal de administración.

GoAnywhere MFT es una herramienta de transferencia de archivos gestionada basada en web que ayuda a las organizaciones a transferir archivos de forma segura con sus socios y a mantener registros de auditoría que muestren quién ha accedido a todos los archivos compartidos.

Aunque Fortra corrigió silenciosamente el fallo (CVE-2024-0204) el 7 de diciembre con el lanzamiento de GoAnywhere MFT 7.4.1, la empresa no lo ha hecho público hasta hoy en un aviso que ofrece información limitada (hay más detalles disponibles en una revisión privada de clientes).

Sin embargo, Fortra también emitió avisos privados a sus clientes el 4 de diciembre antes de parchear el fallo, instándoles a asegurar sus servicios MFT para mantener sus datos a salvo.

Se aconseja a los administradores que aún no hayan actualizado a la última versión y no puedan hacerlo inmediatamente que eliminen el vector de ataque de la siguiente manera:

  1. Elimine el archivo InitialAccountSetup.xhtml del directorio de instalación y reinicie los servicios.
  2. Sustituya InitialAccountSetup.xhtml por un archivo vacío y reinicie los servicios.

La compañía dijo a CiberNovedades el martes que no ha habido informes de ataques que exploten la vulnerabilidad.

Ahora, casi siete semanas después, investigadores de seguridad del equipo de ataque Horizon3 han publicado un análisis técnico de la vulnerabilidad y han compartido una prueba de concepto (PoC) que permite crear nuevos usuarios administradores en instancias GoAnywhere MFT vulnerables expuestas online.

El exploit aprovecha el problema de path traversal detrás de CVE-2024-0204 para acceder al vulnerable endpoint /InitialAccountSetup.xhtml y lanzar la pantalla de configuración de la cuenta inicial (que no debería estar disponible después del proceso de instalación del servidor) para crear una nueva cuenta de administrador.

«El indicador de compromiso más fácil de analizar es la presencia de cualquier nueva incorporación al grupo de ‘Usuarios administradores’ en la sección Usuarios -> Usuarios administradores del portal de administración de GoAnywhere», explica Zach Hanley, ingeniero jefe de ataques de Horizon3.

«Si el atacante ha dejado a este usuario aquí, puedes mirar su última actividad de inicio de sesión para evaluar la fecha aproximada del compromiso».

Sin embargo, ahora que Horizon3 ha lanzado un exploit PoC, es muy probable que los actores de amenazas comiencen a buscar y comprometer cualquier instancia de GoAnywhere MFT que no haya sido parcheada.

La banda de ransomware Clop penetró en más de 100 organizaciones aprovechando un fallo crítico de ejecución remota de código (CVE-2023-0669) en el software GoAnywhere MFT.

Los ataques Clop comenzaron el 18 de enero de 2023, y Fortra descubrió que el fallo se estaba utilizando para violar los servidores de archivos seguros de sus clientes el 3 de febrero.

La lista de víctimas que han denunciado los ataques y extorsiones de Clop incluye al gigante sanitario Community Health Systems (CHS), al gigante de bienes de consumo Procter & Gamble, a la empresa de ciberseguridad Rubrik, a Hitachi Energy, a la plataforma fintech Hatch Bank, al minorista de marcas de lujo Saks Fifth Avenue y al Ayuntamiento de Toronto (Canadá), entre otros.

La participación de Clop en la campaña de robo de datos del año pasado forma parte de un patrón mucho más amplio de ataques a plataformas MFT en los últimos años.

Otros casos incluyen la violación de los servidores Accellion FTA en diciembre de 2020, los servidores SolarWinds Serv-U en 2021, y la explotación generalizada de los servidores MOVEit Transfer a partir del 27 de mayo de 2023.

Actualización 23 de enero, 19:26 EST: Corrección de la fecha de inicio de los ataques Clop MOVEit.