Résumé :

• Une preuve de concept (PoC) vient d'être publiée pour une vulnérabilité critique de contournement d'authentification dans Fortra GoAnywhere MFT(CVE-2024-0204).
• Censys observe actuellement près de 170 hôtes (dont certains accessibles uniquement via vhost/SNI) dont les interfaces d'administration GoAnywhere sont exposées. Bien que l'on ne sache pas exactement combien d'entre eux sont vulnérables, la combinaison de la nature sensible des données généralement stockées dans les outils MFT et de la simplicité de cet exploit suscite des inquiétudes. L'absence de correctif pour ces serveurs exposés conduira probablement à une compromission.
• Mettez à jour vos instances GoAnywhere MFT vers la version 7.4.1 ou suivez les solutions de contournement dans l'avis client de Fortra dès que possible.
• Une bonne pratique consiste à éviter d'exposer les interfaces d'administration, quelles qu'elles soient, à l'internet public.

Un autre jour, un autre exploit MFT.

Au cours de l'année écoulée, les applications de transfert de fichiers gérés (MFT) ont connu une augmentation notable des attaques, une tendance que nous avons signalée à plusieurs reprises. Ces outils sont des cibles attrayantes pour de multiples raisons : ils hébergent souvent des données sensibles et sont généralement conçus pour fonctionner sur des interfaces accessibles par le web. Si ce dernier point améliore l'accessibilité des utilisateurs, il crée aussi souvent des points d'accès initiaux supplémentaires, d'autant plus que les interfaces d'administration sont souvent mal configurées pour permettre l'accès à partir de l'internet public.

GoAnywhere MFT de Fortra est l'un de ces outils qui a attiré l'attention l'année dernière en raison de la CVE-2023-0669, un jour zéro qui a été largement exploité par le gang du ransomware Cl0p.

GoAnywhere est de nouveau dans l'actualité après qu'un PoC ait été publié hier pour une nouvelle vulnérabilité : CVE-2024-0204, un bogue critique de contournement d'authentification qui permet à des utilisateurs non authentifiés de créer des comptes d'administrateur via la console d'administration.

Le PoC démontre à quel point cet exploit est facile à réaliser. Un acteur malveillant peut exploiter un bug de traversée de chemin pour rediriger vers le point de terminaison vulnérable /InitialAccountSetup.xhtml, révélant l'écran de configuration du compte initial de GoAnywhere. Notez que cette vulnérabilité affecte la console d'administration, et non l'interface client web.

Alors que Fortra a corrigé le problème dans GoAnywhere 7.4.1 en décembre, un avis de sécurité public n'a été publié qu'il y a quelques jours, ce qui constitue un pas en avant en matière de transparence après une tendance aux révélations cachées derrière les murs de connexion des clients.

Censys Résultats :

En date du mercredi 24 janvier, Censys constate qu'un peu moins de 170 hôtes exposent les interfaces administratives GoAnywhere MFT sur l'internet public. Bien qu'il ne s'agisse pas du niveau d'exposition le plus important que nous ayons rencontré, il soulève des inquiétudes compte tenu de la nature des données stockées dans ces instances. Le nombre relativement faible d'hôtes ne permet pas d'envisager les dommages potentiels qui pourraient résulter d'une seule compromission. Étant donné la facilité avec laquelle il est possible de les trouver et la simplicité de l'exploit, nous nous attendons à ce que toutes les instances exposées et non corrigées soient compromises.

Une interface administrateur GoAnywhere MFT vulnérable exposée à l'internet

La plupart de ces interfaces d'administration fonctionnent sur les ports par défaut - 8000 et 8001. Notez qu'il peut y avoir plus d'un service par hôte.

Nous constatons une présence notable de ces interfaces aux États-Unis et en Europe.

Plus de 60 % de ces interfaces sont hébergées dans les réseaux Amazon, Microsoft ou Google Cloud.

Nous nous attendons à une augmentation des analyses et à la compromission des instances GoAnywhere MFT exposées et non corrigées. Il est essentiel d'appliquer immédiatement les correctifs.

Il semble que les vulnérabilités de GoAnywhere soient, en fait, en voie de disparition pour le moment.

Que peut-on faire ?

• Mettez à jour vos instances GoAnywhere avec la version 7.4.1 ou une version ultérieure pour corriger cette vulnérabilité. Selon l'avis de Fortra, s'il n'est pas possible d'appliquer un correctif, il existe des mesures manuelles que vous pouvez prendre pour les instances non déployées dans des conteneurs et les instances déployées dans des conteneurs :
• "La vulnérabilité peut également être éliminée dans les déploiements sans conteneur en supprimant le fichier InitialAccountSetup.xhtml dans le répertoire d'installation et en redémarrant les services. Pour les instances déployées en conteneur, remplacez le fichier par un fichier vide et redémarrez."
• Pour vérifier la présence d'IoC, inspectez le groupe Admin Users dans votre portail d'administration pour voir si des administrateurs ont été ajoutés récemment et examinez la dernière activité de connexion pour obtenir une estimation de l'heure de la compromission. N'oubliez pas que l'auteur de la menace peut avoir réussi à compromettre le système et à supprimer ces traces avant qu'elles ne soient détectées.
• Utilisez cette requête de rechercheCensys pour vérifier si votre réseau comporte des interfaces administratives exposées.
• Censys Les clients de la gestion de l'exposition peuvent utiliser la requête suivante pour leurs espaces de travail :  host.services: (http.request.uri:"/goanywhere" AND NOT http.request.uri:"/webclient/Login.xhtml")
• Vous pouvez évaluer l'exposition des outils de transfert de fichiers gérés les plus courants en utilisant cette requête de recherche Censys : labels:managed-file-transfer

Références :

• https://www.fortra.com/security/advisory/fi-2024-001
• https://nvd.nist.gov/vuln/detail/CVE-2024-0204
• https://www.bleepingcomputer.com/news/security/exploit-released-for-fortra-goanywhere-mft-auth-bypass-bug/
• https://www.horizon3.ai/cve-2024-0204-fortra-goanywhere-mft-authentication-bypass-deep-dive/