GoAnywhere administrado Transferencia de archivos (MFT), el programa que estuvo en el centro de un importante escándalo de acceso a datos hace aproximadamente un año, puede tener una nueva vulnerabilidad de alta gravedad que los usuarios deberían parchear inmediatamente para evitar más problemas.
Los investigadores de ciberseguridad Mohammed Eldeeb e Islam Elrfai de Spark Engineering Consultants descubrieron la falla en diciembre de 2023 y se la revelaron al desarrollador de GoAnywhere, Fortra.
Se describe como una debilidad en el recorrido de la ruta y se rastrea como CVE-2024-0204. Tiene una puntuación de gravedad de 9,8/10, lo que la hace crítica.
También hay una solución disponible
Como explicaron los investigadores, así como la empresa de ciberseguridad Horizon3.ai, que posteriormente publicó un exploit de prueba de concepto (PoC), la vulnerabilidad se puede utilizar para crear un nuevo usuario administrador para la herramienta:
«La omisión de autenticación en GoAnywhere MFT de Fortra antes de 7.4.1 permite a un usuario no autorizado crear un usuario administrador a través del portal de administración», un nuevo aviso de Fortra lee.
«El indicador más fácil de compromiso que se puede analizar es cualquier nueva incorporación al grupo Usuarios administradores en la sección Usuarios del portal de administrador de GoAnywhere -> Usuarios administradores», dijo el investigador de seguridad de Horizon3.ai, Zach Hanley. «Si el atacante ha dejado a este usuario aquí, es posible que pueda observar su última actividad de inicio de sesión aquí para calcular una fecha aproximada del compromiso».
Aquellos que no puedan aplicar el parche en este momento pueden aplicar una solución temporal en una implementación sin contenedor: eliminar el archivo InitialAccountSetup.xhtml en el directorio de instalación y luego reiniciar el dispositivo. Para instancias implementadas en contenedores, Fortra recomienda reemplazar el archivo por uno vacío antes de reiniciar.
Actualmente no hay evidencia de que la vulnerabilidad esté siendo explotada en la naturaleza, pero con la noticia y una PoC disponible, es solo cuestión de tiempo antes de que los puntos finales sin parches sean atacados. Los usuarios deben aplicar el parche inmediatamente y evitar poner en riesgo la integridad de sus datos.
El año pasado, una vulnerabilidad en GoAnywhere provocó el robo de datos confidenciales de casi 130 organizaciones.
A través de TheHackerNoticias