CVE-2024-0204 in Fortra’s GoAnywhere MFT

CVE-2024-0204 как ключ под ковриком, не прошедших проверку подлинности, и желающих создать своего собственного пользователя-администратора. Эта уязвимость может быть использована удаленно и является классическим примером CWE-425: «Принудительный доступ, когда веб-приложение просто слишком вежливое, чтобы обеспечить надлежащую авторизацию». Уязвимые версии 6.x начиная с 6.0.1 и версии 7.x до 7.4.1, которая была исправлена, а для уязвимых версией необходимо удалить файл /InitialAccountSetup.xhtml или заменить на пустой с перезапуском службы.

Теперь давайте поговорим о самом GoAnywhere MFT. Это защищённое программное решение, которое, как предполагается, упрощает обмен данными и повышает безопасность, что довольно забавно, учитывая обстоятельства. Оно может быть развёрнуто локально, в облаке или в гибридных средах и поддерживает множество операционных систем и протоколов

CVE-2024-0204, уязвимость в GoAnywhere MFT от Fortra, практически является VIP-пропуском для злоумышленников, не прошедших проверку подлинности. Зачем утруждать себя взломом, когда вы можете просто создать свою собственную учётную запись администратора, верно? Система как будто говорит: «Пожалуйста, заходите, чувствуйте себя как дома, и пока вы этим занимаетесь, не стесняйтесь все контролировать».

А последствия этой уязвимости подобны альбому величайших хитов о кошмарах кибербезопасности:

❇️Создание неавторизованных пользователей-администраторов (акция «избавляемся от складских запасов аутентификационных ключей»)

❇️Потенциальная утечка данных (для повышения популярности компании)

❇️Внедрение вредоносных программ (вместо традиционных схем распространения)

❇️Риск вымогательства (минутка шантажа)

❇️Сбои в работе (разнообразие от повелителя хаоса)

❇️Комплаенс и юридические вопросы (ничто так не оживляет зал заседаний, как старый добрый скандал с комплаенсом и потенциальная юридическая драма)

Планка «сложности атаки» установлена так низко, что даже малыш может споткнуться об неё. Мы говорим о той простоте, которая заставляет задуматься, не является ли «безопасность» просто модным словом, которым они пользуются, чтобы казаться важными.

Сценарий атаки

Итак, вот сценарии блокбастерной атаки для этой феерии обхода аутентификации:

❇️Первоначальный доступ: наш неустрашимый злоумышленник, вооружённый цифровым эквивалентом пластикового брелка, заходит на портал администрирования GoAnywhere MFT без вашего разрешения.

❇️Эксплуатация: далее наш злодей использует проблему обхода пути, которая в основном похожа на поиск секретного прохода в эпизоде «Скуби-Ду», ведущего прямо к конечной точке /InitialAccountSetup.xhtml. К сожалению, поблизости нет назойливых детей, которые могли бы их остановить.

❇️Создание пользователя-администратора: как только они на цыпочках пройдут по секретному проходу, они могут создать пользователя-администратора. Заметьте, это не просто любой пользователь; это тот, у которого есть все навороты — чтение, запись, выполнение команд. Это все равно что дать грабителю ключи от сейфа, коды сигнализации и чашку хорошего чая.

❇️Потенциальная дальнейшая эксплуатация: С ключами от королевства наш злоумышленник теперь может делать все самое интересное: получать доступ к конфиденциальным данным, внедрять вредоносное ПО или просто получать полный контроль, потому что, почему бы и нет? Это бесплатно для всех!

Короче говоря, CVE-2024-0204 достойное внимания напоминание о том, что, возможно, просто возможно, следует отнестись ко всей этой истории с «безопасностью» немного серьёзнее.

Подробный разбор