Исследователи проанализировали уязвимость CVE-2024-0204 в программном обеспечении для управляемой передачи файлов Fortra GoAnywhere MFT и опубликовали код эксплойта, который позволяет ею воспользоваться. Рассказываем, в чем опасность и что по этому поводу следует предпринять организациям, использующим это ПО.
В чем суть уязвимости CVE-2024-0204 в GoAnywhere MFT
Для начала вкратце опишем историю приключений вокруг данной уязвимости в GoAnywhere. На самом деле компания Fortra, которая разрабатывает это решение, закрыла эту дыру еще в начале декабря 2023 года, выпустив версию GoAnywhere MFT 7.4.1. Однако тогда в компании решили не публиковать информацию об уязвимости, ограничившись рассылкой рекомендаций клиентам.
Суть уязвимости состоит вот в чем. После того как клиент заканчивает первичную настройку GoAnywhere, внутренняя логика продукта исключает доступ к странице первоначальной настройки аккаунта. При попытке доступа к этой странице происходит перенаправление либо на панель администрирования (если пользователь аутентифицирован как администратор), либо на страницу аутентификации.
Однако, как установили исследователи, можно использовать альтернативный путь к файлу InitialAccountSetup.xhtml, который не учитывается логикой переадресации. В этом случае GoAnywhere MFT позволяет получить доступ к этой странице и создать нового пользователя с правами администратора.
В качестве доказательства осуществимости атаки исследователи написали и опубликовали короткий скрипт, который позволяет создавать admin-аккаунты в уязвимых версиях GoAnywhere MFT. Все, что для этого нужно, это задать имя нового аккаунта, пароль (единственное ограничение — не менее 8 символов, что само по себе интересно) и путь:
Часть кода эксплойта для уязвимости CVE-2024-0204. Красным выделен альтернативный путь к странице первоначальной настройки, позволяющей создавать пользователей с правами администратора
В целом эта уязвимость крайне напоминает ту, что была обнаружена в Atlassian Confluence Data Center и Confluence Server несколько месяцев назад, — там тоже с помощью нехитрых манипуляций можно было получить возможность создания admin-аккаунтов.
Компания Fortra назначила уязвимости CVE-2024-0204 статус «критической» со счетом 9,8 из 10 по CVSS 3.1.
Следует добавить немного контекста. В 2023 году ransomware-группировка Clop уже использовала уязвимости в Fortra GoAnywhere MFT и похожих продуктах других разработчиков — Progress MOVEit, Accellion FTA и SolarWinds Serv-U — для атак на сотни организаций по всему миру. В частности, от эксплуатации уязвимости в GoAnywhere MFT тогда пострадали компания Procter & Gamble, одна из крупнейших сетей больниц в США Community Health Systems (CHS) и муниципалитет Торонто.
Как защититься от эксплуатации CVE-2024-0204
Очевидный способ защиты от эксплуатации данной уязвимости — это обновление GoAnywhere MFT до версии 7.4.1, в которой исправлена логика запрета доступа к странице InitialAccountSetup.xhtml.
Если же по каким-то причинам обновление неосуществимо, можно использовать несложные обходные маневры:
Удалить файл InitialAccountSetup.xhtml в установочной папке и перезагрузить сервис.
Заменить InitialAccountSetup.xhtml пустым файлом и опять-таки перезагрузить сервис.
В свою очередь, чтобы отслеживать подозрительную активность в корпоративной сети, следует использовать решения класса EDR. Если же у собственной ИБ-команды не хватает для этого квалификации или ресурсов, можно воспользоваться услугами внешнего сервиса для непрерывного поиска угроз, направленных на вашу организацию, и своевременного реагирования на них.