Zusammenfassung:

• Ein Proof of Concept (PoC) wurde gerade für eine kritische Authentifizierungsumgehungsschwachstelle in Fortra GoAnywhere MFT(CVE-2024-0204) veröffentlicht
• Censys beobachtet derzeit fast 170 Hosts (einschließlich einiger, die nur über vhost/SNI zugänglich sind) mit offenen GoAnywhere-Administrationsschnittstellen. Es ist zwar unklar, wie viele davon verwundbar sind, aber die Kombination aus der Sensibilität der Daten, die typischerweise in MFT-Tools gespeichert werden, und der Einfachheit dieses Exploits gibt Anlass zur Sorge. Wenn diese ungeschützten Server nicht gepatcht werden, führt dies wahrscheinlich zu einer Gefährdung.
• Aktualisieren Sie Ihre GoAnywhere MFT-Instanzen auf Version 7.4.1 oder befolgen Sie die Lösungsvorschläge in Fortras Kundenberatung ASAP
• Es ist eine gute Praxis, Verwaltungsschnittstellen jeglicher Art nicht dem öffentlichen Internet auszusetzen.

Ein weiterer Tag, ein weiterer MFT-Exploit.

Im vergangenen Jahr haben MFT-Anwendungen (Managed File Transfer) einen bemerkenswerten Anstieg der Angriffe erlebt - ein Trend, über den wir bereits mehrfach berichtet haben. Diese Tools sind aus mehreren Gründen ein attraktives Ziel: Sie enthalten häufig sensible Daten und sind in der Regel so konzipiert, dass sie über eine über das Internet zugängliche Schnittstelle funktionieren. Letzteres verbessert zwar die Zugänglichkeit für den Benutzer, schafft aber auch oft zusätzliche Einstiegspunkte, zumal die Verwaltungsschnittstellen oft falsch konfiguriert sind, um den Zugriff aus dem öffentlichen Internet zu ermöglichen.

GoAnywhere MFT von Fortra ist ein solches Tool, das im vergangenen Jahr wegen CVE-2023-0669, einem Zero-Day, der von der Cl0p-Ransomware-Bande in großem Umfang ausgenutzt wurde, große Aufmerksamkeit erlangte.

GoAnywhere ist wieder in den Nachrichten, nachdem gestern ein PoC für eine neue Sicherheitslücke veröffentlicht wurde: CVE-2024-0204, ein kritischer Authentifizierungsumgehungsfehler, der es nicht authentifizierten Benutzern ermöglicht, über die Verwaltungskonsole Administratorkonten zu erstellen.

Der PoC zeigt, wie einfach diese Schwachstelle ist. Ein böswilliger Akteur kann einen Path Traversal Bug ausnutzen, um zum verwundbaren Endpunkt /InitialAccountSetup.xhtml umzuleiten und so den Bildschirm zur Einrichtung des GoAnywhere-Kontos zu öffnen. Beachten Sie, dass diese Schwachstelle die Verwaltungskonsole betrifft, nicht die Web-Client-Schnittstelle.

Während Fortra die Schwachstelle in GoAnywhere 7.4.1 im Dezember gepatcht hat, wurde erst vor wenigen Tagen ein öffentlicher Sicherheitshinweis veröffentlicht, was nach einem Trend zu versteckten Enthüllungen hinter Kunden-Logins einen Schritt in Richtung Transparenz darstellt.

Censys Feststellungen:

Mit Stand vom Mittwoch, 24. Januar, sieht Censys etwas weniger als 170 Hosts, die GoAnywhere MFT-Verwaltungsschnittstellen im öffentlichen Internet offenlegen. Dies ist zwar nicht das größte Ausmaß an Gefährdung, das wir je gesehen haben, aber angesichts der Art der in diesen Instanzen gespeicherten Daten gibt es Anlass zur Sorge. Die relativ geringe Anzahl von Hosts täuscht über den potenziellen Schaden hinweg, der durch eine einzige Kompromittierung entstehen könnte. In Anbetracht der Tatsache, wie leicht diese Instanzen zu finden sind und der Einfachheit des Exploits, gehen wir davon aus, dass alle exponierten, ungepatchten Instanzen wahrscheinlich gefährdet sein werden.

Eine verwundbare GoAnywhere MFT-Administratorschnittstelle, die dem Internet ausgesetzt ist

Die meisten dieser Verwaltungsschnittstellen laufen über die Standard-Port-Einstellungen - 8000 und 8001. Beachten Sie, dass es mehr als einen Dienst pro Host geben kann.

Diese Schnittstellen sind in den Vereinigten Staaten und in Europa besonders häufig anzutreffen.

Über 60 % dieser Schnittstellen werden in Amazon-, Microsoft- oder Google-Cloud-Netzwerken gehostet.

Wir erwarten eine Zunahme von Scans und Kompromittierungen von ungeschützten, ungepatchten GoAnywhere-MFT-Instanzen. Das sofortige Patchen ist entscheidend.

Es sieht so aus, als ob die Schwachstellen von GoAnywhere vorerst nicht mehr auftauchen werden.

Was kann getan werden?

• Aktualisieren Sie Ihre GoAnywhere-Instanzen auf Version 7.4.1 oder eine neuere Version, um diese Sicherheitslücke zu schließen. Wenn ein Patching nicht möglich ist, können Sie für Instanzen, die nicht in Containern oder Containern installiert sind, manuelle Maßnahmen ergreifen, heißt es im Herstellerhinweis von Fortra:
• "Die Schwachstelle kann auch bei Nicht-Container-Installationen behoben werden, indem die Datei InitialAccountSetup.xhtml im Installationsverzeichnis gelöscht und die Dienste neu gestartet werden. Bei Instanzen, die in Containern bereitgestellt werden, ersetzen Sie die Datei durch eine leere Datei und starten Sie neu."
• Um nach IoCs zu suchen, überprüfen Sie die Gruppe "Admin Users" in Ihrem Verwaltungsportal auf neu hinzugefügte Administratoren und die letzte Anmeldeaktivität, um eine Schätzung des Zeitpunkts der Kompromittierung zu erhalten. Bedenken Sie, dass der Bedrohungsakteur das System möglicherweise erfolgreich kompromittiert und diese Spuren vor der Entdeckung gelöscht hat.
• Verwenden Sie diese Censys Search Abfrage, um Ihr Netzwerk auf offene administrative Schnittstellen zu überprüfen.
• Censys Exposure Management können Kunden die folgende Abfrage für ihre Arbeitsbereiche verwenden:  host.services: (http.request.uri:"/goanywhere" AND NOT http.request.uri:"/webclient/Login.xhtml")
• Sie können die Expositionen der gängigsten Tools für die verwaltete Dateiübertragung mit dieser Censys Search Abfrage auswerten: labels:managed-file-transfer

Referenzen:

• https://www.fortra.com/security/advisory/fi-2024-001
• https://nvd.nist.gov/vuln/detail/CVE-2024-0204
• https://www.bleepingcomputer.com/news/security/exploit-released-for-fortra-goanywhere-mft-auth-bypass-bug/
• https://www.horizon3.ai/cve-2024-0204-fortra-goanywhere-mft-authentication-bypass-deep-dive/