Resumen ejecutivo:

• Se acaba de publicar una prueba de concepto (PoC ) para una vulnerabilidad crítica de elusión de autenticación en Fortra GoAnywhere MFT(CVE-2024-0204).
• Censys observa actualmente cerca de 170 hosts (incluyendo algunos sólo accesibles a través de vhost/SNI) con interfaces de administración GoAnywhere expuestas. Aunque no está claro cuántos de ellos son vulnerables, la combinación de la naturaleza sensible de los datos que suelen almacenarse en las herramientas MFT y la simplicidad de este exploit suscita preocupación. Si no se aplican parches a estos servidores expuestos, es probable que se produzca un ataque.
• Actualice sus instancias de GoAnywhere MFT a la versión 7.4.1 o siga las soluciones del aviso al cliente de Fortra lo antes posible.
• Es una buena práctica evitar exponer interfaces de administración de cualquier tipo al público en Internet.

Otro día, otra hazaña de MFT.

En el último año, las aplicaciones de transferencia de archivos gestionadas (MFT) han experimentado un notable aumento de los ataques, una tendencia de la que hemos informado en múltiples ocasiones. Estas herramientas son objetivos apetecibles por varias razones: a menudo albergan datos confidenciales y suelen estar diseñadas para funcionar a través de interfaces accesibles desde la Web. Aunque esto último mejora la accesibilidad del usuario, también suele crear puntos de acceso iniciales adicionales, especialmente porque las interfaces de administración suelen estar mal configuradas para permitir el acceso desde la Internet pública.

GoAnywhere MFT de Fortra es una de esas herramientas que acaparó gran atención el año pasado por CVE-2023-0669, un día cero que fue objeto de una amplia explotación por parte de la banda de ransomware Cl0p.

GoAnywhere vuelve a ser noticia después de que ayer se publicara un PoC de una nueva vulnerabilidad: CVE-2024-0204, un error crítico de desviación de autenticación que permite a usuarios no autenticados crear cuentas de administrador a través de la consola administrativa.

El PoC demuestra lo fácil que es este exploit. Un actor malicioso puede aprovechar un error de path traversal para redirigir al vulnerable /InitialAccountSetup.xhtml endpoint, revelando la pantalla de configuración de cuenta inicial de GoAnywhere. Tenga en cuenta que esta vulnerabilidad afecta a la consola de administración, no a la interfaz de cliente web.

Aunque Fortra parcheó el problema en GoAnywhere 7.4.1 en diciembre, no se publicó un aviso de seguridad hasta hace unos días, lo que muestra un paso adelante en la transparencia tras una tendencia de revelaciones ocultas tras los muros de acceso de los clientes.

Censys Hallazgos:

A partir del miércoles 24 de enero, Censys ve un poco menos de 170 hosts que exponen las interfaces administrativas de GoAnywhere MFT en la Internet pública. Aunque este no es el nivel más extenso de exposición que hemos encontrado, es preocupante dada la naturaleza de los datos almacenados en estas instancias. El número relativamente pequeño de hosts desmiente el daño potencial que podría producirse con un solo ataque. Dada la facilidad con la que se encuentran y la sencillez del exploit, esperamos que cualquier instancia expuesta sin parches se vea probablemente comprometida.

Una interfaz de administrador GoAnywhere MFT vulnerable expuesta a Internet

La mayoría de estas interfaces de administración se ejecutan en los puertos por defecto - 8000 y 8001. Tenga en cuenta que puede haber más de un servicio por host.

Observamos una notable presencia de estas interfaces en Estados Unidos y Europa.

Más del 60% de estas interfaces están alojadas en redes en la nube de Amazon, Microsoft o Google.

Esperamos ver un aumento en la exploración y el compromiso de las instancias expuestas GoAnywhere MFT sin parches. Parchear inmediatamente es crucial.

Parece que las vulnerabilidades de GoAnywhere, de hecho, no van a ninguna parte por el momento.

¿Qué se puede hacer?

• Actualice sus instancias de GoAnywhere a la versión 7.4.1 o una posterior para solucionar esta vulnerabilidad. Según el aviso del proveedor de Fortra, si no es posible aplicar el parche, existen pasos manuales que puede seguir para las instancias implementadas en contenedores y sin contenedores:
• "La vulnerabilidad también puede eliminarse en despliegues sin contenedor borrando el archivo InitialAccountSetup.xhtml en el directorio de instalación y reiniciando los servicios. Para instancias desplegadas en contenedor, reemplace el archivo con un archivo vacío y reinicie."
• Para comprobar si hay IoC, inspeccione el grupo de usuarios administradores del portal de administración en busca de administradores recién añadidos y revise la última actividad de inicio de sesión para obtener una estimación de la hora del ataque. Tenga en cuenta que es posible que el autor de la amenaza haya logrado comprometer el sistema y haya eliminado estos rastros antes de la detección.
• Utilice esta consulta de búsqueda deCensys para comprobar si hay interfaces administrativas expuestas en su red.
• Censys Los clientes de Exposure Management pueden utilizar la siguiente consulta para sus espacios de trabajo:  host.services: (http.request.uri:"/goanywhere" AND NOT http.request.uri:"/webclient/Login.xhtml")
• Puede evaluar las exposiciones de las herramientas más comunes de transferencia gestionada de archivos utilizando esta consulta de búsqueda de Censys : labels:managed-file-transfer

Referencias:

• https://www.fortra.com/security/advisory/fi-2024-001
• https://nvd.nist.gov/vuln/detail/CVE-2024-0204
• https://www.bleepingcomputer.com/news/security/exploit-released-for-fortra-goanywhere-mft-auth-bypass-bug/
• https://www.horizon3.ai/cve-2024-0204-fortra-goanywhere-mft-authentication-bypass-deep-dive/