CVE-2024-0204 in Fortra’s GoAnywhere MFT
CVE-2024-0204 как ключ под ковриком, не прошедших проверку подлинности, и желающих создать своего собственного пользователя-администратора. Эта уязвимость может быть использована удаленно и является классическим примером CWE-425: «Принудительный доступ, когда веб-приложение просто слишком вежливое, чтобы обеспечить надлежащую авторизацию». Уязвимые версии 6.x начиная с 6.0.1 и версии 7.x до 7.4.1, которая была исправлена, а для уязвимых версией необходимо удалить файл /InitialAccountSetup.xhtml или заменить на пустой с перезапуском службы.
Теперь давайте поговорим о самом GoAnywhere MFT. Это защищённое программное решение, которое, как предполагается, упрощает обмен данными и повышает безопасность, что довольно забавно, учитывая обстоятельства. Оно может быть развёрнуто локально, в облаке или в гибридных средах и поддерживает множество операционных систем и протоколов
CVE-2024-0204, уязвимость в GoAnywhere MFT от Fortra, практически является VIP-пропуском для злоумышленников, не прошедших проверку подлинности. Зачем утруждать себя взломом, когда вы можете просто создать свою собственную учётную запись администратора, верно? Система как будто говорит: «Пожалуйста, заходите, чувствуйте себя как дома, и пока вы этим занимаетесь, не стесняйтесь все контролировать».
А последствия этой уязвимости подобны альбому величайших хитов о кошмарах кибербезопасности:
❇️Создание неавторизованных пользователей-администраторов (акция «избавляемся от складских запасов аутентификационных ключей»)
❇️Потенциальная утечка данных (для повышения популярности компании)
❇️Внедрение вредоносных программ (вместо традиционных схем распространения)
❇️Риск вымогательства (минутка шантажа)
❇️Сбои в работе (разнообразие от повелителя хаоса)
❇️Комплаенс и юридические вопросы (ничто так не оживляет зал заседаний, как старый добрый скандал с комплаенсом и потенциальная юридическая драма)
Планка «сложности атаки» установлена так низко, что даже малыш может споткнуться об неё. Мы говорим о той простоте, которая заставляет задуматься, не является ли «безопасность» просто модным словом, которым они пользуются, чтобы казаться важными.
Сценарий атаки
Итак, вот сценарии блокбастерной атаки для этой феерии обхода аутентификации:
❇️Первоначальный доступ: наш неустрашимый злоумышленник, вооружённый цифровым эквивалентом пластикового брелка, заходит на портал администрирования GoAnywhere MFT без вашего разрешения.
❇️Эксплуатация: далее наш злодей использует проблему обхода пути, которая в основном похожа на поиск секретного прохода в эпизоде «Скуби-Ду», ведущего прямо к конечной точке /InitialAccountSetup.xhtml. К сожалению, поблизости нет назойливых детей, которые могли бы их остановить.
❇️Создание пользователя-администратора: как только они на цыпочках пройдут по секретному проходу, они могут создать пользователя-администратора. Заметьте, это не просто любой пользователь; это тот, у которого есть все навороты — чтение, запись, выполнение команд. Это все равно что дать грабителю ключи от сейфа, коды сигнализации и чашку хорошего чая.
❇️Потенциальная дальнейшая эксплуатация: С ключами от королевства наш злоумышленник теперь может делать все самое интересное: получать доступ к конфиденциальным данным, внедрять вредоносное ПО или просто получать полный контроль, потому что, почему бы и нет? Это бесплатно для всех!
Короче говоря, CVE-2024-0204 достойное внимания напоминание о том, что, возможно, просто возможно, следует отнестись ко всей этой истории с «безопасностью» немного серьёзнее.
Подробный разбор
Vkontakte
Twitter
Одноклассники
