logo
Overkill Security  Because Nothing Says 'Security' Like a Dozen Firewalls and a Biometric Scanner
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
A blog about all things techy! Not too much hype, just a lot of cool analysis and insight from different sources.

📌Not sure what level is suitable for you? Check this explanation https://sponsr.ru/overkill_security/55291/Paid_Content/

QA — directly or via email overkill_qa@outlook.com
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Your donation fuels our mission to provide cutting-edge cybersecurity research, in-depth tutorials, and expert insights. Support our work today to empower the community with even more valuable content.

*no refund, no paid content

Помочь проекту
Regular Reader 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Ideal for regular readers who are interested in staying informed about the latest trends and updates in the cybersecurity world without.

Оформить подписку
Pro Reader 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Designed for IT professionals, cybersecurity experts, and enthusiasts who seek deeper insights and more comprehensive resources. + Q&A

Оформить подписку
Фильтры
Обновления проекта
Контакты
Поделиться
Метки
Читать: 5+ мин
logo Overkill Security

CVE-2024-0204 in Fortra’s GoAnywhere MFT

CVE-2024-0204 ‎is‏ ‎like ‎a ‎key ‎under ‎the‏ ‎mat ‎that‏ ‎has‏ ‎not ‎been ‎authenticated‏ ‎and ‎wants‏ ‎to ‎create ‎its ‎own‏ ‎administrator‏ ‎user. ‎This‏ ‎vulnerability ‎can‏ ‎be ‎exploited ‎remotely ‎and ‎is‏ ‎a‏ ‎classic ‎example‏ ‎of ‎CWE-425:‏ ‎«Forced ‎access ‎when ‎a ‎web‏ ‎application‏ ‎is‏ ‎simply ‎too‏ ‎polite ‎to‏ ‎provide ‎proper‏ ‎authorization.»‏ ‎Vulnerable ‎versions‏ ‎6.x ‎starting ‎from ‎6.0.1 ‎and‏ ‎version ‎7.x‏ ‎up‏ ‎to ‎7.4.1, ‎in‏ ‎which ‎they‏ ‎decided ‎to ‎hang ‎a‏ ‎lock‏ ‎on ‎the‏ ‎door. ‎If‏ ‎you’re ‎feeling ‎DIY, ‎the ‎advisory‏ ‎suggests‏ ‎a ‎workaround:‏ ‎delete ‎the‏ ‎endpoint ‎/InitialAccountSetup.xhtml ‎and ‎restart ‎the‏ ‎service.‏ ‎For‏ ‎those ‎fancy‏ ‎container-deployed ‎instances,‏ ‎just ‎replace‏ ‎the‏ ‎file ‎with‏ ‎an ‎empty ‎one ‎and ‎give‏ ‎it ‎a‏ ‎good‏ ‎ol' ‎reboot.

Now, ‎let’s‏ ‎talk ‎about‏ ‎GoAnywhere ‎MFT ‎itself. ‎It’s‏ ‎a‏ ‎secure ‎software‏ ‎solution ‎that’s‏ ‎supposed ‎to ‎streamline ‎data ‎exchange‏ ‎and‏ ‎improve ‎security,‏ ‎which ‎is‏ ‎kind ‎of ‎hilarious ‎given ‎the‏ ‎circumstances.‏ ‎It’s‏ ‎like ‎having‏ ‎a ‎state-of-the-art‏ ‎vault ‎with‏ ‎the‏ ‎door ‎wide‏ ‎open. ‎It ‎can ‎be ‎deployed‏ ‎on-premises, ‎in‏ ‎the‏ ‎cloud, ‎or ‎in‏ ‎hybrid ‎environments‏ ‎and ‎supports ‎a ‎plethora‏ ‎of‏ ‎operating ‎systems‏ ‎and ‎protocols.

CVE-2024-0204,‏ ‎a ‎vulnerability ‎in ‎Fortra’s ‎GoAnywhere‏ ‎MFT,‏ ‎is ‎practically‏ ‎a ‎VIP‏ ‎pass ‎for ‎unauthenticated ‎attackers. ‎Why‏ ‎bother‏ ‎with‏ ‎the ‎hassle‏ ‎of ‎hacking‏ ‎when ‎you‏ ‎can‏ ‎just ‎create‏ ‎your ‎own ‎admin ‎account, ‎right?‏ ‎It’s ‎like‏ ‎the‏ ‎system ‎is ‎saying,‏ ‎«Please, ‎come‏ ‎in, ‎make ‎yourself ‎at‏ ‎home,‏ ‎and ‎while‏ ‎you’re ‎at‏ ‎it, ‎feel ‎free ‎to ‎take‏ ‎control‏ ‎of ‎everything.»

The‏ ‎impacts ‎of‏ ‎this ‎vulnerability ‎are ‎like ‎a‏ ‎greatest‏ ‎hits‏ ‎album ‎of‏ ‎cybersecurity ‎nightmares:

❇️Creation‏ ‎of ‎Unauthorized‏ ‎Admin‏ ‎Users: ‎Because‏ ‎why ‎wouldn’t ‎we ‎want ‎random‏ ‎strangers ‎to‏ ‎have‏ ‎the ‎keys ‎to‏ ‎the ‎kingdom?

❇️Potential‏ ‎for ‎Data ‎Breach: ‎It’s‏ ‎like‏ ‎leaving ‎your‏ ‎diary ‎open‏ ‎in ‎a ‎crowded ‎cafe ‎and‏ ‎being‏ ‎surprised ‎when‏ ‎someone ‎reads‏ ‎it.

❇️Malware ‎Deployment: ‎Who ‎needs ‎traditional‏ ‎malware‏ ‎distribution‏ ‎methods ‎when‏ ‎you ‎can‏ ‎just ‎drop‏ ‎your‏ ‎ransomware ‎directly‏ ‎into ‎the ‎system ‎like ‎it’s‏ ‎hot?

❇️Complete ‎System‏ ‎Takeover:‏ ‎It’s ‎not ‎just‏ ‎a ‎visit;‏ ‎it’s ‎a ‎full-blown ‎takeover.‏ ‎Why‏ ‎rent ‎when‏ ‎you ‎can‏ ‎own?

❇️Risk ‎of ‎Extortion: ‎With ‎access‏ ‎this‏ ‎easy, ‎why‏ ‎not ‎throw‏ ‎in ‎a ‎little ‎blackmail? ‎It’s‏ ‎the‏ ‎cherry‏ ‎on ‎top‏ ‎of ‎the‏ ‎cybersecurity ‎disaster‏ ‎sundae.

❇️Operational‏ ‎Disruption: ‎Because‏ ‎who ‎doesn’t ‎love ‎a ‎little‏ ‎chaos ‎in‏ ‎their‏ ‎day-to-day ‎operations?

❇️Compliance ‎and‏ ‎Legal ‎Issues:‏ ‎Nothing ‎spices ‎up ‎the‏ ‎boardroom‏ ‎like ‎a‏ ‎good ‎old-fashioned‏ ‎compliance ‎scandal ‎and ‎the ‎potential‏ ‎for‏ ‎legal ‎drama.

The‏ ‎bar ‎for‏ ‎«attack ‎complexity» ‎is ‎set ‎so‏ ‎low,‏ ‎even‏ ‎a ‎toddler‏ ‎could ‎trip‏ ‎over ‎it.‏ ‎We’re‏ ‎talking ‎about‏ ‎the ‎kind ‎of ‎simplicity ‎that‏ ‎makes ‎you‏ ‎wonder‏ ‎if ‎«security» ‎is‏ ‎just ‎a‏ ‎fancy ‎word ‎they ‎throw‏ ‎around‏ ‎to ‎sound‏ ‎important.

Attack ‎Flow

So,‏ ‎here’s ‎the ‎blockbuster ‎attack ‎flow‏ ‎for‏ ‎this ‎authentication‏ ‎bypass ‎extravaganza:

❇️Initial‏ ‎Access: ‎Our ‎intrepid ‎attacker, ‎armed‏ ‎with‏ ‎the‏ ‎digital ‎equivalent‏ ‎of ‎a‏ ‎plastic ‎spork,‏ ‎strolls‏ ‎into ‎the‏ ‎GoAnywhere ‎MFT ‎administration ‎portal ‎without‏ ‎so ‎much‏ ‎as‏ ‎a ‎by-your-leave. ‎Thanks‏ ‎to ‎the‏ ‎path ‎traversal ‎issue, ‎it’s‏ ‎less‏ ‎«breaking ‎and‏ ‎entering» ‎and‏ ‎more ‎«please ‎enter ‎and ‎make‏ ‎yourself‏ ‎at ‎home.»

❇️Exploitation:‏ ‎Next, ‎our‏ ‎villain ‎exploits ‎the ‎path ‎traversal‏ ‎issue,‏ ‎which‏ ‎is ‎basically‏ ‎like ‎finding‏ ‎a ‎secret‏ ‎passage‏ ‎in ‎a‏ ‎Scooby-Doo ‎episode, ‎leading ‎straight ‎to‏ ‎the ‎/InitialAccountSetup.xhtml‏ ‎endpoint.‏ ‎No ‎meddling ‎kids‏ ‎in ‎sight‏ ‎to ‎stop ‎them, ‎unfortunately.

❇️Creation‏ ‎of‏ ‎Admin ‎User:‏ ‎Once ‎they’ve‏ ‎tiptoed ‎through ‎the ‎secret ‎passage,‏ ‎they‏ ‎can ‎create‏ ‎an ‎admin‏ ‎user. ‎This ‎isn’t ‎just ‎any‏ ‎user,‏ ‎mind‏ ‎you; ‎it’s‏ ‎the ‎kind‏ ‎with ‎all‏ ‎the‏ ‎bells ‎and‏ ‎whistles—read, ‎write, ‎command ‎execution. ‎It’s‏ ‎like ‎giving‏ ‎a‏ ‎burglar ‎the ‎keys‏ ‎to ‎the‏ ‎safe, ‎the ‎alarm ‎codes,‏ ‎and‏ ‎a ‎nice‏ ‎cup ‎of‏ ‎tea.

❇️Potential ‎Further ‎Exploitation: ‎With ‎the‏ ‎keys‏ ‎to ‎the‏ ‎kingdom, ‎our‏ ‎attacker ‎can ‎now ‎do ‎all‏ ‎the‏ ‎fun‏ ‎stuff: ‎access‏ ‎sensitive ‎data,‏ ‎deploy ‎malware,‏ ‎or‏ ‎just ‎take‏ ‎complete ‎control ‎because, ‎why ‎not?‏ ‎It’s ‎a‏ ‎free-for-all!

In‏ ‎short, ‎CVE-2024-0204 ‎is‏ ‎the ‎gift‏ ‎that ‎keeps ‎on ‎giving—if‏ ‎you’re‏ ‎an ‎attacker,‏ ‎that ‎is.‏ ‎For ‎the ‎rest ‎of ‎us,‏ ‎it’s‏ ‎a ‎facepalm-worthy‏ ‎reminder ‎that‏ ‎maybe, ‎just ‎maybe, ‎we ‎should‏ ‎take‏ ‎this‏ ‎whole ‎«security»‏ ‎thing ‎a‏ ‎bit ‎more‏ ‎seriously.


Unpacking‏ ‎in ‎more‏ ‎detail

Читать: 5+ мин
logo Хроники кибер-безопасника

CVE-2024-0204 in Fortra’s GoAnywhere MFT

CVE-2024-0204 ‎как‏ ‎ключ ‎под ‎ковриком, ‎не ‎прошедших‏ ‎проверку ‎подлинности,‏ ‎и‏ ‎желающих ‎создать ‎своего‏ ‎собственного ‎пользователя-администратора.‏ ‎Эта ‎уязвимость ‎может ‎быть‏ ‎использована‏ ‎удаленно ‎и‏ ‎является ‎классическим‏ ‎примером ‎CWE-425: ‎«Принудительный ‎доступ, ‎когда‏ ‎веб-приложение‏ ‎просто ‎слишком‏ ‎вежливое, ‎чтобы‏ ‎обеспечить ‎надлежащую ‎авторизацию». ‎Уязвимые ‎версии‏ ‎6.x‏ ‎начиная‏ ‎с ‎6.0.1‏ ‎и ‎версии‏ ‎7.x ‎до‏ ‎7.4.1,‏ ‎которая ‎была‏ ‎исправлена, ‎а ‎для ‎уязвимых ‎версией‏ ‎необходимо ‎удалить‏ ‎файл‏ ‎/InitialAccountSetup.xhtml ‎или ‎заменить‏ ‎на ‎пустой‏ ‎с ‎перезапуском ‎службы.


Теперь ‎давайте‏ ‎поговорим‏ ‎о ‎самом‏ ‎GoAnywhere ‎MFT.‏ ‎Это ‎защищённое ‎программное ‎решение, ‎которое,‏ ‎как‏ ‎предполагается, ‎упрощает‏ ‎обмен ‎данными‏ ‎и ‎повышает ‎безопасность, ‎что ‎довольно‏ ‎забавно,‏ ‎учитывая‏ ‎обстоятельства. ‎Оно‏ ‎может ‎быть‏ ‎развёрнуто ‎локально,‏ ‎в‏ ‎облаке ‎или‏ ‎в ‎гибридных ‎средах ‎и ‎поддерживает‏ ‎множество ‎операционных‏ ‎систем‏ ‎и ‎протоколов


CVE-2024-0204, ‎уязвимость‏ ‎в ‎GoAnywhere‏ ‎MFT ‎от ‎Fortra, ‎практически‏ ‎является‏ ‎VIP-пропуском ‎для‏ ‎злоумышленников, ‎не‏ ‎прошедших ‎проверку ‎подлинности. ‎Зачем ‎утруждать‏ ‎себя‏ ‎взломом, ‎когда‏ ‎вы ‎можете‏ ‎просто ‎создать ‎свою ‎собственную ‎учётную‏ ‎запись‏ ‎администратора,‏ ‎верно? ‎Система‏ ‎как ‎будто‏ ‎говорит: ‎«Пожалуйста,‏ ‎заходите,‏ ‎чувствуйте ‎себя‏ ‎как ‎дома, ‎и ‎пока ‎вы‏ ‎этим ‎занимаетесь,‏ ‎не‏ ‎стесняйтесь ‎все ‎контролировать».


А‏ ‎последствия ‎этой‏ ‎уязвимости ‎подобны ‎альбому ‎величайших‏ ‎хитов‏ ‎о ‎кошмарах‏ ‎кибербезопасности:

❇️Создание ‎неавторизованных‏ ‎пользователей-администраторов ‎(акция ‎«избавляемся ‎от ‎складских‏ ‎запасов‏ ‎аутентификационных ‎ключей»)

❇️Потенциальная‏ ‎утечка ‎данных‏ ‎(для ‎повышения ‎популярности ‎компании)

❇️Внедрение ‎вредоносных‏ ‎программ‏ ‎(вместо‏ ‎традиционных ‎схем‏ ‎распространения)

❇️Риск ‎вымогательства‏ ‎(минутка ‎шантажа)

❇️Сбои‏ ‎в‏ ‎работе ‎(разнообразие‏ ‎от ‎повелителя ‎хаоса)

❇️Комплаенс ‎и ‎юридические‏ ‎вопросы ‎(ничто‏ ‎так‏ ‎не ‎оживляет ‎зал‏ ‎заседаний, ‎как‏ ‎старый ‎добрый ‎скандал ‎с‏ ‎комплаенсом‏ ‎и ‎потенциальная‏ ‎юридическая ‎драма)


Планка‏ ‎«сложности ‎атаки» ‎установлена ‎так ‎низко,‏ ‎что‏ ‎даже ‎малыш‏ ‎может ‎споткнуться‏ ‎об ‎неё. ‎Мы ‎говорим ‎о‏ ‎той‏ ‎простоте,‏ ‎которая ‎заставляет‏ ‎задуматься, ‎не‏ ‎является ‎ли‏ ‎«безопасность»‏ ‎просто ‎модным‏ ‎словом, ‎которым ‎они ‎пользуются, ‎чтобы‏ ‎казаться ‎важными.


Сценарий‏ ‎атаки

Итак,‏ ‎вот ‎сценарии ‎блокбастерной‏ ‎атаки ‎для‏ ‎этой ‎феерии ‎обхода ‎аутентификации:

❇️Первоначальный‏ ‎доступ: наш‏ ‎неустрашимый ‎злоумышленник,‏ ‎вооружённый ‎цифровым‏ ‎эквивалентом ‎пластикового ‎брелка, ‎заходит ‎на‏ ‎портал‏ ‎администрирования ‎GoAnywhere‏ ‎MFT ‎без‏ ‎вашего ‎разрешения.

❇️Эксплуатация: далее ‎наш ‎злодей ‎использует‏ ‎проблему‏ ‎обхода‏ ‎пути, ‎которая‏ ‎в ‎основном‏ ‎похожа ‎на‏ ‎поиск‏ ‎секретного ‎прохода‏ ‎в ‎эпизоде ‎«Скуби-Ду», ‎ведущего ‎прямо‏ ‎к ‎конечной‏ ‎точке‏ ‎/InitialAccountSetup.xhtml. ‎К ‎сожалению,‏ ‎поблизости ‎нет‏ ‎назойливых ‎детей, ‎которые ‎могли‏ ‎бы‏ ‎их ‎остановить.

❇️Создание‏ ‎пользователя-администратора: как ‎только‏ ‎они ‎на ‎цыпочках ‎пройдут ‎по‏ ‎секретному‏ ‎проходу, ‎они‏ ‎могут ‎создать‏ ‎пользователя-администратора. ‎Заметьте, ‎это ‎не ‎просто‏ ‎любой‏ ‎пользователь;‏ ‎это ‎тот,‏ ‎у ‎которого‏ ‎есть ‎все‏ ‎навороты‏ ‎— ‎чтение,‏ ‎запись, ‎выполнение ‎команд. ‎Это ‎все‏ ‎равно ‎что‏ ‎дать‏ ‎грабителю ‎ключи ‎от‏ ‎сейфа, ‎коды‏ ‎сигнализации ‎и ‎чашку ‎хорошего‏ ‎чая.

❇️Потенциальная‏ ‎дальнейшая ‎эксплуатация: С‏ ‎ключами ‎от‏ ‎королевства ‎наш ‎злоумышленник ‎теперь ‎может‏ ‎делать‏ ‎все ‎самое‏ ‎интересное: ‎получать‏ ‎доступ ‎к ‎конфиденциальным ‎данным, ‎внедрять‏ ‎вредоносное‏ ‎ПО‏ ‎или ‎просто‏ ‎получать ‎полный‏ ‎контроль, ‎потому‏ ‎что,‏ ‎почему ‎бы‏ ‎и ‎нет? ‎Это ‎бесплатно ‎для‏ ‎всех!


Короче ‎говоря,‏ ‎CVE-2024-0204‏ ‎достойное ‎внимания ‎напоминание‏ ‎о ‎том,‏ ‎что, ‎возможно, ‎просто ‎возможно,‏ ‎следует‏ ‎отнестись ‎ко‏ ‎всей ‎этой‏ ‎истории ‎с ‎«безопасностью» ‎немного ‎серьёзнее.


Подробный‏ ‎разбор

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048