Exploit rilasciato per GoAnywhere MFT zero-day sfruttato attivamente
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 9 Febbraio 2023
Tags: #GoAnywhere, #sicurezza
Tags: #GoAnywhere, #sicurezza
Exploit rilasciato per GoAnywhere MFT zero-day sfruttato attivamente
Fortra GoAnywhere
È stato rilasciato codice di exploit per una vulnerabilità zero-day sfruttata attivamente che colpisce le console di amministrazione di GoAnywhere MFT esposte a Internet.
GoAnywhere MFT è uno strumento di trasferimento di file gestito e basato sul Web progettato per aiutare le organizzazioni a trasferire i file in modo sicuro con i partner e conservare registri di controllo di chi ha avuto accesso ai file condivisi.
Il suo sviluppatore è Fortra (precedentemente noto come HelpSystems), il gruppo dietro lo strumento di emulazione delle minacce Cobalt Strike ampiamente abusato.
Lunedì, il ricercatore di sicurezza Florian Hauser della società di consulenza per la sicurezza informatica Code White ha rilasciato dettagli tecnici e un codice exploit proof-of-concept che esegue l'esecuzione di codice remoto non autenticato su server GoAnywhere MFT vulnerabili.
"Potrei fornire un PoC funzionante (confronta l'hash e l'ora del mio tweet) ai miei compagni di squadra entro poche ore nello stesso giorno per proteggere prima i nostri clienti", ha affermato Hauser.
Conferma dell'exploit RCE
Fortra afferma che "il vettore di attacco di questo exploit richiede l'accesso alla console amministrativa dell'applicazione, che nella maggior parte dei casi è accessibile solo dall'interno di una rete aziendale privata, tramite VPN o tramite indirizzi IP consentiti (durante l'esecuzione nel cloud ambienti, come Azure o AWS)."
Tuttavia, una scansione di Shodan mostra che quasi 1.000 istanze GoAnywhere sono esposte su Internet, anche se poco più di 140 si trovano sulle porte 8000 e 8001 (quelle utilizzate dalla console di amministrazione vulnerabile).
Mitigazione disponibile
La società deve ancora riconoscere pubblicamente questa falla di sicurezza RCE di pre-autenticazione remota sfruttata negli attacchi (per leggere l'avviso, è necessario prima creare un account gratuito) e non ha rilasciato aggiornamenti di sicurezza per affrontare la vulnerabilità, lasciando così tutte le installazioni esposte vulnerabile agli attacchi.
Tuttavia, l'advisory privato fornisce indicatori di compromissione, incluso uno stacktrace specifico che compare nei log sui sistemi compromessi.
"Se questo stacktrace è nei log, è molto probabile che questo sistema sia stato l'obiettivo di un attacco", afferma Fortra.
Contiene inoltre consigli di mitigazione che includono l'implementazione di controlli di accesso per consentire l'accesso all'interfaccia amministrativa di GoAnywhere MFT solo da fonti attendibili o la disabilitazione del servizio di licenza.
Per disabilitare il server delle licenze, gli amministratori devono commentare o eliminare la configurazione del servlet e della mappatura del servlet per il servlet di risposta della licenza nel file web.xml per disabilitare l'endpoint vulnerabile. È necessario un riavvio per applicare la nuova configurazione.
Servlet di risposta alla licenza GoAnywhere MFT
Codice da rimuovere/commentare per disabilitare il servizio di licenza di GoAnywhere MFT
"Poiché i dati nel tuo ambiente potrebbero essere stati consultati o esportati, dovresti determinare se hai memorizzato credenziali per altri sistemi nell'ambiente e assicurarti che tali credenziali siano state revocate", ha aggiunto Fortra in un aggiornamento rilasciato sabato.
"Ciò include password e chiavi utilizzate per accedere a qualsiasi sistema esterno con cui GoAnywhere è integrato.
"Assicurati che tutte le credenziali siano state revocate da quei sistemi esterni e rivedi i registri di accesso pertinenti relativi a tali sistemi. Ciò include anche le password e le chiavi utilizzate per crittografare i file all'interno del sistema."
Fortra consiglia inoltre di adottare le seguenti misure dopo la mitigazione in ambienti con sospetto o evidenza di un attacco:
Ruota la tua chiave di crittografia principale.
Reimpostare le credenziali - chiavi e/o password - per tutti i partner/sistemi commerciali esterni.
Esamina i registri di controllo ed elimina qualsiasi amministratore sospetto e/o account utente web
Contatta l'assistenza tramite il portale https://my.goanywhere.com/, invia un'e-mail a goanywhere.support@helpsystems.com o chiama il numero 402-944-4242 per ulteriore assistenza.