Saldırı kodu artık Fortra'nın Goanywhere MFT (yönetilen dosya aktarımı) yazılımında, saldırganların yönetim portalı aracılığıyla takılmamış örneklerde yeni yönetici kullanıcıları oluşturmalarını sağlayan kritik bir kimlik doğrulama baypas güvenlik açığı için kullanılabilir.
Goanywhere MFT, kuruluşların dosyaları ortaklarla güvenli bir şekilde aktarmasına ve paylaşılan tüm dosyalara eriştiğinin denetim günlüklerini tutmasına yardımcı olan web tabanlı yönetilen bir dosya aktarım aracıdır.
Fortra, Goanywhere MFT 7.4.1'in yayınlanmasıyla 7 Aralık'ta hatayı (CVE-2024-0204) sessizce yamalarken, şirket bugün sadece bir danışmanlıkta açıklandı (daha fazla ayrıntı özel bir müşteri danışmanında mevcuttur) .
Bununla birlikte, Fortra ayrıca kusurları düzeltmeden önce 4 Aralık'ta müşterilere özel tavsiyeler yayınladı ve verilerini güvende tutmak için MFT hizmetlerini güvence altına almaya çağırdı.
Henüz olmayan ve son sürüme hemen yükselemeyen yöneticilerin saldırı vektörünü şu şekilde kaldırması tavsiye edilir:
Şirket Salı günü BleepingComputer'a bu güvenlik açığından yararlanan saldırıların raporu olmadığını söyledi.
Bugün, neredeyse yedi hafta sonra, Horizon3 saldırı ekibi ile güvenlik araştırmacıları, güvenlik açığının teknik bir analizini yayınladılar ve çevrimiçi olarak maruz kalan MFT örneklerinde yeni yönetici kullanıcıları oluşturmaya yardımcı olan bir kavram kanıtı (POC) istismarını paylaştılar.
Onların istismarları, savunmasız /initialAccountsetup.xhtml uç noktasına erişmek ve bir başlangıç hesap kurulum ekranını (sunucunun kurulum işleminden sonra kullanılamaması gereken) başlatmak için CVE-2024-0204'ün kökenindeki yol geçiş sorunundan yararlanır. Yeni Yönetici Hesabı.
Horizon3 baş saldırı mühendisi Zach Hanley, "Analiz edilebilecek en kolay uzlaşma göstergesi, Goanywhere Yöneticisi Portal kullanıcıları -> yönetici kullanıcıları bölümündeki 'Yönetici Kullanıcılar' grubuna yeni eklemelerdir." Dedi.
"Saldırgan bu kullanıcıyı burada bırakmışsa, yaklaşık bir uzlaşma tarihini ölçmek için son oturum açma etkinliğini gözlemleyebilirsiniz."
Ancak, şimdi Horizon3 bir POC istismarını yayınladığı için, tehdit aktörlerinin taramaya ve uzlaşmadan ayrılan tüm Goanywhere MFT örnekleri için tarama yapmaya ve tehlikeye atmaya başlaması çok muhtemeldir.
Clop fidye yazılımı çetesi, Goanywhere MFT yazılımında kritik bir uzaktan kod yürütme kusurunu (CVE-2023-0669) kullanarak 100'den fazla kuruluşu ihlal etti.
Clop'un saldırıları 18 Ocak 2023'te başladı ve Fortra, kusurun 3 Şubat'ta müşterilerinin güvenli dosya sunucularını ihlal etmek için silahlandırıldığını keşfetti.
Clop tarafından ihlal edildikten ve zorlandıktan sonra öne çıkan kurbanların listesi, sağlık hizmetleri devi Toplum Sağlığı Sistemleri (CHS), Tüketici Malları Dev Procter & Gamble, Siber Güvenlik Firması Rubrik, Hitachi Energy, Fintech Platform Hatch Bank, Lüks Marka içerir. Perakendeci Saks Fifth Avenue ve Toronto, Kanada Şehri.
Clop'un geçen yılki veri hırsızlığı kampanyasına katılımı, son yıllarda MFT platformlarını hedeflemenin çok daha geniş bir modelinin bir parçası.
Diğer örnekler arasında Aralık 2020'de Acccellion FTA sunucularının ihlali, 2021'de SolarWinds Serv-U sunucuları ve 27 Mayıs 2023'ten itibaren MoveIT transfer sunucularının yaygın olarak kullanılması yer alıyor.
GÜNCELLEME 23 Ocak 19:26 EST: Clop'un hareket saldırıları için düzeltilmiş başlangıç tarihi.
Fortra, yeni eleştirel Goanywhere Mft Auth Bypass'ı uyarıyor, şimdi yama
Citrix Bleed Sazisi Hacker'ların NetScaler Hesaplarını Kaçınmasına İzin Verin
Tesla tekrar hackledi, Pwn2own Tokyo'da 24 sıfır gün daha sömürüldü
Tesla Hacked, Pwn2own Otomotiv 2024'te 24 sıfır gün demodi
Ivanti, şimdi kitlesel sömürü altında güvenli sıfır günleri bağlayın
Kaynak: Bleeping Computer