Недавно был обнародован метод взлома для GoAnywhere MFT, который открывает путь к назначению новых админов

В интернете обнаружили метод взлома, целящий в критическую слабость системы аутентификации в GoAnywhere MFT (Managed File Transfer) от компании Fortra, давая возможность добавлять новых администраторов в системы, где данная уязвимость не устранена.

GoAnywhere MFT представляет собой решение для безопасного обмена файлами, созданное для поддержки компаний в безопасной передаче файлов с бизнес-партнерами и контроле доступа к файлам через аудит. Продукт разработан компанией Fortra, ранее известной как HelpSystems, которая также ответственна за разработку Cobalt Strike - широко применяемого инструмента для тестирования на проникновение и действий red team, нацеленного на выявление и использование уязвимостей.

Критическая уязвимость, получившая обозначение CVE-2024-0204 и 9,8 баллов по шкале CVSS, была исправлена 7 декабря 2023 года в версии GoAnywhere MFT 7.4.1. Однако компания сообщила о проблеме публично только на этой неделе, хотя в декабре сделала закрытое уведомление своим клиентам, с советом незамедлительно обезопасить свои системы от потенциальных атак.

Уязвимость позволяет злоумышленникам на расстоянии добавлять новых пользователей с административными правами, что может привести к полной компрометации системы, включая доступ к чувствительным данным, внедрение вредоносного ПО и выполнение дальнейших атак в пределах сети пострадавшей компании.

Проблема касается версий Fortra GoAnywhere MFT 6.x начиная с 6.0.1 и Fortra GoAnywhere MFT 7.4.0 и более ранних версий.

Компания Horizon3 выпустила подробный технический отчет об уязвимости и предоставила доказательство концепции (PoC-эксплоит), который упрощает процесс добавления новых администраторов в GoAnywhere MFT.

Эксплоит эксплуатирует проблему перехода по путям (path traversal) в CVE-2024-0204 для доступа к уязвимому эндпоинту /InitialAccountSetup.xhtml, позволяя запустить процедуру начальной настройки аккаунта (которая должна быть недоступна после завершения установки) для создания новой учетной записи администратора.

С публикацией PoC-эксплоита специалисты по информационной безопасности предупреждают о возможности активного сканирования злоумышленниками сети в поисках систем GoAnywhere MFT без установленных патчей.