O festival de vulnerabilidades em software corporativo continua com uma falha de desvio de autenticação no GoAnywhere MFT da Fortra. Avaliado no CVSS 9.8, esta falha permite que um adversário crie uma conta de administrador sem obter qualquer acesso ao sistema. Fortra recomenda atualizar a solução MFT para versões além daquelas suscetíveis à falha.
A vulnerabilidade do GoAnywhere MFT permite o desvio de autenticação
Em janeiro 22, 2024, Fortra, o desenvolvedor de Transferência gerenciada de arquivos GoAnywhere (MFT), notificado sobre um bug grave de desvio de autenticação presente no software. Um bug que se enquadra na designação CWE-425 permite que adversários criem uma conta de usuário com privilégios de administrador. A única coisa que eles precisam cumprir é abrir o portal de administração. Provavelmente, o software simplesmente ignora a autenticação, considerando que qualquer pessoa que acesse o portal tenha privilégios apropriados.
Considerando a natureza do MFT, uma exploração bem-sucedida de CVE-2024-0204 significa um controle total sobre o fluxo de documentos que é gerenciado através da solução. Hackers podem vazar esses documentos, ou injetar malware em um, então quem abrir será infectado. Esse, em combinação com o facilidade geral de exploração, é a razão para uma pontuação CVSS tão alta.
Essa não é a primeira vez que vulnerabilidades do GoAnywhere chegam aos boletins informativos. Em fevereiro 2023, hackers publicaram a proof-of-concept exploit por outra falha deste software, que permitiu a execução remota de código. Avançar, esta vulnerabilidade foi exploited by the Cl0p ransomware gang atacar mais de cem vítimas.
Ignorar autenticação no GoAnywhere corrigido
Para as versões suscetíveis, Fortra nomeia todas as versões 6.x do GoAnywhere, começando com 6.0.1, e todas as versões 7.x anteriores 7.4.1. Este último foi lançado de volta em dezembro 2023, então aqueles que instalam as atualizações após o lançamento estão seguros. Como o desenvolvedor não oferece nenhuma mitigação (e não é realmente possível nesse caso), a atualização é a única opção viável para proteção contra o CVE-2024-0204.
Essas vulnerabilidades são perigosas?
A exploração de software em escala corporativa permanece um poderoso vetor de ataque. À medida que os cibercriminosos preferem cada vez mais atacar empresas em vez de indivíduos, a importância de instalar patches de segurança torna-se cada vez mais importante. Como mostram as estatísticas, sobre 90% dos casos de exploração acontecem depois que a vulnerabilidade é publicada e corrigida pelo desenvolvedor.
Além de corrigir, pode-se optar adicionalmente por software de segurança com recursos anti-exploração aprimorados. Soluções modernas de EDR/XDR são desenvolvidas com esses recursos em mente, então considere dar uma olhada. Soluções que incluem política de confiança zero será o mais eficaz, pois tratam qualquer processo no meio ambiente como potencialmente perigoso.