logo
Overkill Security  Because Nothing Says 'Security' Like a Dozen Firewalls and a Biometric Scanner
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
A blog about all things techy! Not too much hype, just a lot of cool analysis and insight from different sources.

📌Not sure what level is suitable for you? Check this explanation https://sponsr.ru/overkill_security/55291/Paid_Content/

QA — directly or via email overkill_qa@outlook.com
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Your donation fuels our mission to provide cutting-edge cybersecurity research, in-depth tutorials, and expert insights. Support our work today to empower the community with even more valuable content.

*no refund, no paid content

Помочь проекту
Regular Reader 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Ideal for regular readers who are interested in staying informed about the latest trends and updates in the cybersecurity world without.

Оформить подписку
Pro Reader 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Overkill Security

Designed for IT professionals, cybersecurity experts, and enthusiasts who seek deeper insights and more comprehensive resources. + Q&A

Оформить подписку
Фильтры
Обновления проекта
Контакты
Поделиться
Метки
Читать: 5+ мин
logo Overkill Security

CVE-2024-0204 in Fortra’s GoAnywhere MFT

CVE-2024-0204 ‎is‏ ‎like ‎a ‎key ‎under ‎the‏ ‎mat ‎that‏ ‎has‏ ‎not ‎been ‎authenticated‏ ‎and ‎wants‏ ‎to ‎create ‎its ‎own‏ ‎administrator‏ ‎user. ‎This‏ ‎vulnerability ‎can‏ ‎be ‎exploited ‎remotely ‎and ‎is‏ ‎a‏ ‎classic ‎example‏ ‎of ‎CWE-425:‏ ‎«Forced ‎access ‎when ‎a ‎web‏ ‎application‏ ‎is‏ ‎simply ‎too‏ ‎polite ‎to‏ ‎provide ‎proper‏ ‎authorization.»‏ ‎Vulnerable ‎versions‏ ‎6.x ‎starting ‎from ‎6.0.1 ‎and‏ ‎version ‎7.x‏ ‎up‏ ‎to ‎7.4.1, ‎in‏ ‎which ‎they‏ ‎decided ‎to ‎hang ‎a‏ ‎lock‏ ‎on ‎the‏ ‎door. ‎If‏ ‎you’re ‎feeling ‎DIY, ‎the ‎advisory‏ ‎suggests‏ ‎a ‎workaround:‏ ‎delete ‎the‏ ‎endpoint ‎/InitialAccountSetup.xhtml ‎and ‎restart ‎the‏ ‎service.‏ ‎For‏ ‎those ‎fancy‏ ‎container-deployed ‎instances,‏ ‎just ‎replace‏ ‎the‏ ‎file ‎with‏ ‎an ‎empty ‎one ‎and ‎give‏ ‎it ‎a‏ ‎good‏ ‎ol' ‎reboot.

Now, ‎let’s‏ ‎talk ‎about‏ ‎GoAnywhere ‎MFT ‎itself. ‎It’s‏ ‎a‏ ‎secure ‎software‏ ‎solution ‎that’s‏ ‎supposed ‎to ‎streamline ‎data ‎exchange‏ ‎and‏ ‎improve ‎security,‏ ‎which ‎is‏ ‎kind ‎of ‎hilarious ‎given ‎the‏ ‎circumstances.‏ ‎It’s‏ ‎like ‎having‏ ‎a ‎state-of-the-art‏ ‎vault ‎with‏ ‎the‏ ‎door ‎wide‏ ‎open. ‎It ‎can ‎be ‎deployed‏ ‎on-premises, ‎in‏ ‎the‏ ‎cloud, ‎or ‎in‏ ‎hybrid ‎environments‏ ‎and ‎supports ‎a ‎plethora‏ ‎of‏ ‎operating ‎systems‏ ‎and ‎protocols.

CVE-2024-0204,‏ ‎a ‎vulnerability ‎in ‎Fortra’s ‎GoAnywhere‏ ‎MFT,‏ ‎is ‎practically‏ ‎a ‎VIP‏ ‎pass ‎for ‎unauthenticated ‎attackers. ‎Why‏ ‎bother‏ ‎with‏ ‎the ‎hassle‏ ‎of ‎hacking‏ ‎when ‎you‏ ‎can‏ ‎just ‎create‏ ‎your ‎own ‎admin ‎account, ‎right?‏ ‎It’s ‎like‏ ‎the‏ ‎system ‎is ‎saying,‏ ‎«Please, ‎come‏ ‎in, ‎make ‎yourself ‎at‏ ‎home,‏ ‎and ‎while‏ ‎you’re ‎at‏ ‎it, ‎feel ‎free ‎to ‎take‏ ‎control‏ ‎of ‎everything.»

The‏ ‎impacts ‎of‏ ‎this ‎vulnerability ‎are ‎like ‎a‏ ‎greatest‏ ‎hits‏ ‎album ‎of‏ ‎cybersecurity ‎nightmares:

❇️Creation‏ ‎of ‎Unauthorized‏ ‎Admin‏ ‎Users: ‎Because‏ ‎why ‎wouldn’t ‎we ‎want ‎random‏ ‎strangers ‎to‏ ‎have‏ ‎the ‎keys ‎to‏ ‎the ‎kingdom?

❇️Potential‏ ‎for ‎Data ‎Breach: ‎It’s‏ ‎like‏ ‎leaving ‎your‏ ‎diary ‎open‏ ‎in ‎a ‎crowded ‎cafe ‎and‏ ‎being‏ ‎surprised ‎when‏ ‎someone ‎reads‏ ‎it.

❇️Malware ‎Deployment: ‎Who ‎needs ‎traditional‏ ‎malware‏ ‎distribution‏ ‎methods ‎when‏ ‎you ‎can‏ ‎just ‎drop‏ ‎your‏ ‎ransomware ‎directly‏ ‎into ‎the ‎system ‎like ‎it’s‏ ‎hot?

❇️Complete ‎System‏ ‎Takeover:‏ ‎It’s ‎not ‎just‏ ‎a ‎visit;‏ ‎it’s ‎a ‎full-blown ‎takeover.‏ ‎Why‏ ‎rent ‎when‏ ‎you ‎can‏ ‎own?

❇️Risk ‎of ‎Extortion: ‎With ‎access‏ ‎this‏ ‎easy, ‎why‏ ‎not ‎throw‏ ‎in ‎a ‎little ‎blackmail? ‎It’s‏ ‎the‏ ‎cherry‏ ‎on ‎top‏ ‎of ‎the‏ ‎cybersecurity ‎disaster‏ ‎sundae.

❇️Operational‏ ‎Disruption: ‎Because‏ ‎who ‎doesn’t ‎love ‎a ‎little‏ ‎chaos ‎in‏ ‎their‏ ‎day-to-day ‎operations?

❇️Compliance ‎and‏ ‎Legal ‎Issues:‏ ‎Nothing ‎spices ‎up ‎the‏ ‎boardroom‏ ‎like ‎a‏ ‎good ‎old-fashioned‏ ‎compliance ‎scandal ‎and ‎the ‎potential‏ ‎for‏ ‎legal ‎drama.

The‏ ‎bar ‎for‏ ‎«attack ‎complexity» ‎is ‎set ‎so‏ ‎low,‏ ‎even‏ ‎a ‎toddler‏ ‎could ‎trip‏ ‎over ‎it.‏ ‎We’re‏ ‎talking ‎about‏ ‎the ‎kind ‎of ‎simplicity ‎that‏ ‎makes ‎you‏ ‎wonder‏ ‎if ‎«security» ‎is‏ ‎just ‎a‏ ‎fancy ‎word ‎they ‎throw‏ ‎around‏ ‎to ‎sound‏ ‎important.

Attack ‎Flow

So,‏ ‎here’s ‎the ‎blockbuster ‎attack ‎flow‏ ‎for‏ ‎this ‎authentication‏ ‎bypass ‎extravaganza:

❇️Initial‏ ‎Access: ‎Our ‎intrepid ‎attacker, ‎armed‏ ‎with‏ ‎the‏ ‎digital ‎equivalent‏ ‎of ‎a‏ ‎plastic ‎spork,‏ ‎strolls‏ ‎into ‎the‏ ‎GoAnywhere ‎MFT ‎administration ‎portal ‎without‏ ‎so ‎much‏ ‎as‏ ‎a ‎by-your-leave. ‎Thanks‏ ‎to ‎the‏ ‎path ‎traversal ‎issue, ‎it’s‏ ‎less‏ ‎«breaking ‎and‏ ‎entering» ‎and‏ ‎more ‎«please ‎enter ‎and ‎make‏ ‎yourself‏ ‎at ‎home.»

❇️Exploitation:‏ ‎Next, ‎our‏ ‎villain ‎exploits ‎the ‎path ‎traversal‏ ‎issue,‏ ‎which‏ ‎is ‎basically‏ ‎like ‎finding‏ ‎a ‎secret‏ ‎passage‏ ‎in ‎a‏ ‎Scooby-Doo ‎episode, ‎leading ‎straight ‎to‏ ‎the ‎/InitialAccountSetup.xhtml‏ ‎endpoint.‏ ‎No ‎meddling ‎kids‏ ‎in ‎sight‏ ‎to ‎stop ‎them, ‎unfortunately.

❇️Creation‏ ‎of‏ ‎Admin ‎User:‏ ‎Once ‎they’ve‏ ‎tiptoed ‎through ‎the ‎secret ‎passage,‏ ‎they‏ ‎can ‎create‏ ‎an ‎admin‏ ‎user. ‎This ‎isn’t ‎just ‎any‏ ‎user,‏ ‎mind‏ ‎you; ‎it’s‏ ‎the ‎kind‏ ‎with ‎all‏ ‎the‏ ‎bells ‎and‏ ‎whistles—read, ‎write, ‎command ‎execution. ‎It’s‏ ‎like ‎giving‏ ‎a‏ ‎burglar ‎the ‎keys‏ ‎to ‎the‏ ‎safe, ‎the ‎alarm ‎codes,‏ ‎and‏ ‎a ‎nice‏ ‎cup ‎of‏ ‎tea.

❇️Potential ‎Further ‎Exploitation: ‎With ‎the‏ ‎keys‏ ‎to ‎the‏ ‎kingdom, ‎our‏ ‎attacker ‎can ‎now ‎do ‎all‏ ‎the‏ ‎fun‏ ‎stuff: ‎access‏ ‎sensitive ‎data,‏ ‎deploy ‎malware,‏ ‎or‏ ‎just ‎take‏ ‎complete ‎control ‎because, ‎why ‎not?‏ ‎It’s ‎a‏ ‎free-for-all!

In‏ ‎short, ‎CVE-2024-0204 ‎is‏ ‎the ‎gift‏ ‎that ‎keeps ‎on ‎giving—if‏ ‎you’re‏ ‎an ‎attacker,‏ ‎that ‎is.‏ ‎For ‎the ‎rest ‎of ‎us,‏ ‎it’s‏ ‎a ‎facepalm-worthy‏ ‎reminder ‎that‏ ‎maybe, ‎just ‎maybe, ‎we ‎should‏ ‎take‏ ‎this‏ ‎whole ‎«security»‏ ‎thing ‎a‏ ‎bit ‎more‏ ‎seriously.


Unpacking‏ ‎in ‎more‏ ‎detail

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048