Exploit kodu, internete maruz kalan Goany Where MFT Yönetici konsollarını etkileyen aktif olarak sömürülen sıfır gün güvenlik açığı için yayınlandı.
Goanywhere MFT, kuruluşların dosyaları ortaklarla güvenli bir şekilde aktarmasına ve paylaşılan dosyalara eriştiğinin denetim günlüklerini tutmasına yardımcı olmak için tasarlanmış web tabanlı ve yönetilen bir dosya aktarım aracıdır.
Geliştiricisi, yaygın olarak istismar edilen Kobalt Strike Tehdit Emülasyon aracının arkasındaki kıyafet olan Fortra (eski adıyla Helpsystems olarak bilinir).
Pazartesi günü, Güvenlik Araştırmacısı Florian Hauser BT güvenlik danışmanlığı firması kodu White, savunmasız Goanywhere MFT sunucularında kime doğrulanmamış uzaktan kod yürütme gerçekleştiren teknik detaylar ve kavram kanıtı istismar kodu yayınladı.
Hauser, "Önce müşterilerimizi korumak için takım arkadaşlarıma aynı gün içinde takım arkadaşlarıma çalışan bir POC (tweet'imin karma ve zamanını karşılaştırın) sağlayabilirim." Dedi.
Fortra, "bu istismarın saldırı vektörü, çoğu durumda yalnızca özel bir şirket ağından, VPN aracılığıyla veya izin verilen IP adresleriyle (bulutta çalışırken erişilebilir olan uygulamanın idari konsoluna erişim gerektirdiğini söylüyor ( Azure veya AWS gibi ortamlar). "
Bununla birlikte, bir Shodan taraması, 140'ın biraz üzerinde 8000 ve 8001 limanında (savunmasız yönetici konsolu tarafından kullanılanlar) olmakla birlikte, yaklaşık 1.000 Goanywhere örneğinin internette maruz kaldığını göstermektedir.
Şirket, saldırılarda sömürülen bu uzaktan ön kimlik doğrulaması RCE güvenlik kusurunu henüz kamuya açıklamamıştır (danışmanlığı okumak için önce ücretsiz bir hesap oluşturmanız gerekir) ve güvenlik açığını ele almak için güvenlik güncellemeleri yayınlamamıştır, böylece açık tüm kurulumları bırakmamıştır saldırılara karşı savunmasız.
Bununla birlikte, özel danışmanlık, tehlikeye atılan sistemlerde günlüklerde ortaya çıkan belirli bir yığınak da dahil olmak üzere uzlaşma göstergeleri sağlar.
Fortra, "Bu yığın kütüklerde ise, bu sistemin saldırının hedefi olması muhtemeldir."
Ayrıca, Goanywhere MFT idari arayüzüne yalnızca güvenilir kaynaklardan veya lisanslama hizmetini devre dışı bırakılmasına izin vermek için erişim kontrollerinin uygulanmasını içeren azaltma tavsiyesi içerir.
Lisans sunucusunu devre dışı bırakmak için yöneticiler, savunmasız uç noktayı devre dışı bırakmak için Web.xml dosyasındaki lisans yanıtı sunucu uygulaması için sunucu uygulaması ve sunucu uygulaması haritalama yapılandırmasını yorumlamak veya silmelidir. Yeni yapılandırmayı uygulamak için bir yeniden başlatma gerekir.
Fortra, Cumartesi günü yayınlanan bir güncellemeye, "Ortamınızdaki verilere erişilebilmesi veya dışa aktarılabilmesi nedeniyle, ortamdaki diğer sistemler için kimlik bilgilerini saklayıp saklamadığınızı belirlemelisiniz ve bu kimlik bilgilerinin iptal edildiğinden emin olmalısınız."
"Bu, Goanywhere'nin entegre olduğu harici sistemlere erişmek için kullanılan şifreleri ve anahtarları içerir.
"Tüm kimlik bilgilerinin bu harici sistemlerden iptal edildiğinden ve bu sistemlerle ilgili ilgili erişim günlüklerini gözden geçirdiğinden emin olun. Buna, sistemdeki dosyaları şifrelemek için kullanılan şifreleri ve anahtarları da içerir."
Fortra ayrıca, şüpheli veya bir saldırı kanıtı olan ortamlarda hafifletme sonrasında aşağıdaki önlemlerin alınmasını önerir:
Goanywhere Mft Zero-Day Güvenlik Açığı, bilgisayar korsanlarının ihlal sunucularına izin verir
Araştırmacılar Kritik Yönetme RCE Hatası için POC istismarını serbest bırakacaklar, şimdi Patch
Kritik VMware Vrealize RCE Güvenlik Açığı
Araştırmacılar VMware Vrealize Log RCE istismarını yayınlayacak, şimdi Patch
Exploit kritik yönetme için yayınlanan rce hatası, yama şimdi
Kaynak: Bleeping Computer