O κώδικας εκμετάλλευσης για μια κρίσιμη ευπάθεια παράκαμψης ταυτοποίησης στο λογισμικό GoAnywhere MFT (Managed File Transfer) της Fortra, που επιτρέπει στους επιτιθέμενους να δημιουργήσουν νέους διαχειριστές σε μη ενημερωμένες εγκαταστάσεις μέσω της διαχειριστικής πύλης, είναι πλέον διαθέσιμος.
Δείτε επίσης: Πάνω από 40 χώρες θα υπογράψουν για να σταματήσουν να πληρώνουν λύτρα σε ransomware συμμορίες
Το GoAnywhere MFT είναι ένα εργαλείο μεταφοράς αρχείων που διαχειρίζεται μέσω ιστού και βοηθά τις οργανισμούς να μεταφέρουν αρχεία με ασφάλεια στους συνεργάτες τους και να διατηρούν αρχεία καταγραφής ελέγχου για το ποιος είχε πρόσβαση σε όλα τα κοινόχρηστα αρχεία.
Ενώ η Fortra επιδιόρθωσε αθόρυβα το σφάλμα (CVE-2024-0204) στις 7 Δεκεμβρίου με την κυκλοφορία του GoAnywhere MFT 7.4.1, η εταιρεία το αποκάλυψε δημοσίως μόλις πρόσφατα, μέσω ενός ενημερωτικού δελτίου που περιλαμβάνει περιορισμένες πληροφορίες.
Ωστόσο, η Fortra εξέδωσε επίσης ιδιωτικές ειδοποιήσεις στους πελάτες της στις 4 Δεκεμβρίου πριν επιδιορθώσει το ελάττωμα, ενθαρρύνοντάς τους να ασφαλίσουν τις υπηρεσίες MFT τους για να προστατεύσουν τα δεδομένα τους.
Οι διαχειριστές που δεν έχουν ακόμα και δεν μπορούν να αναβαθμίσουν αμέσως στην τελευταία έκδοση συνιστούνται να απομακρύνουν το διάνυσμα επίθεσης:
- Για να επιτευχθεί αυτό, αφαιρέστε το αρχείο InitialAccountSetup.xhtml από τον φάκελο εγκατάστασης και επανεκκινήστε τις υπηρεσίες.
- Αντικαταστήστε το αρχείο InitialAccountSetup.xhtml με ένα κενό αρχείο και επανεκκινήστε τις υπηρεσίες.
Η εταιρεία ανέφερε την Τρίτη ότι δεν υπήρξαν αναφορές για επιθέσεις που εκμεταλλεύονται αυτή την ευπάθεια.
Σήμερα, σχεδόν επτά εβδομάδες αργότερα, ερευνητές ασφαλείας από την Attack Team της Horizon3 δημοσίευσαν μια τεχνική ανάλυση της ευπάθειας και μοιράστηκαν ένα PoC της εκμετάλλευσης, που βοηθά στη δημιουργία νέων διαχειριστών σε ευπαθείς περιπτώσεις του GoAnywhere MFT που είναι προσβάσιμες διαδικτυακά.
Δείτε ακόμα: Ransomware manager: Η ομάδα “farnetwork” συνδέεται με πέντε ransomware
Η εκμετάλλευση χρησιμοποιεί το ζήτημα της διέλευσης μονοπατιού στη ρίζα του CVE-2024-0204 για να αποκτήσει πρόσβαση στο ευάλωτο /InitialAccountSetup.xhtml σημείο πρόσβασης και να ξεκινήσει την αρχική διαδικασία ρύθμισης λογαριασμού (που δεν θα έπρεπε να είναι διαθέσιμη μετά τη διαδικασία ρύθμισης του διακομιστή) για τη δημιουργία ενός νέου λογαριασμού διαχειριστή.
Ωστόσο, τώρα που η Horizon3 έχει κυκλοφορήσει ένα PoC, είναι πολύ πιθανό να αρχίσουν οι απειλητικοί παράγοντες να σαρώνουν και να παραβιάζουν όλες τις εγκαταστάσεις του GoAnywhere MFT που δεν έχουν ενημερωθεί.
Η ομάδα Clop ransomware παραβίασε πάνω από 100 οργανισμούς, εκμεταλλευόμενη μια κρίσιμη αδυναμία εκτέλεσης απομακρυσμένου κώδικα (CVE-2023-0669) στο λογισμικό GoAnywhere MFT.
Οι επιχειρήσεις και οι ιδιώτες μπορούν να αντιμετωπίσουν μια επίθεση του Clop ransomware μέσω μιας σειράς στρατηγικών. Πρώτον, είναι σημαντικό να διατηρούν τα συστήματα και το λογισμικό τους ενημερωμένα. Αυτό μπορεί να βοηθήσει στην προστασία από τις πιο πρόσφατες ευπάθειες που εκμεταλλεύονται τα ransomware.
Δεύτερον, οι χρήστες πρέπει να είναι προσεκτικοί με τα emails και τα μηνύματα που λαμβάνουν. Πολλές επιθέσεις ransomware ξεκινούν με φαινομενικά ακίνδυνα μηνύματα που περιέχουν κακόβουλους συνδέσμους ή συνημμένα.
Τρίτον, είναι σημαντικό να διατηρούν τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων. Αυτό μπορεί να βοηθήσει στην αποκατάσταση των δεδομένων χωρίς την ανάγκη πληρωμής αποζημίωσης σε περίπτωση επίθεσης ransomware.
Δείτε επίσης: Αυξημένος ο αριθμός των θυμάτων που αναφέρονται σε “sites διαρροής” ransomware συμμοριών
Τέλος, η χρήση ενός ισχυρού λογισμικού ασφαλείας που περιλαμβάνει προστασία από ransomware μπορεί να προσφέρει επιπλέον άμυνα. Αυτό μπορεί να βοηθήσει στην ανίχνευση και την αποτροπή των επιθέσεων πριν αυτές προκαλέσουν ζημιά.
Πηγή: bleepingcomputer