ثغرة أمنية خطيرة تكشف مستخدمي Fortra GoAnywhere
بالكاد مر 12 شهرًا منذ يوم الصفر في فورترا اذهب في أي مكان أدت أداة نقل الملفات المُدارة (MFT) إلى زيادة في الهجمات السيبرانية والعار العالمي لـ عصابة برامج الفدية Clop (المعروفة أيضًا باسم Cl0p).، يُنصح مستخدمو الخدمة الشهيرة بتحصين أنفسهم ضد الخلل الخطير الذي تم اكتشافه حديثًا في المنتج.
الفضل للباحثين الأمنيين محمد الديب وإسلام الرفاعي من مصر سبارك للاستشارات الهندسية، CVE-2024-0204 عبارة عن ثغرة يمكن استغلالها عن بعد في تجاوز المصادقة في Fortra GoAnywhere MFT الموجودة في الإصدارات السابقة للإصدار 7.4.1.
إذا تركت دون علاج، فقد تسمح لمستخدم غير مصرح له بإنشاء مستخدم إداري عبر بوابة الإدارة – وهو أمر من شأنه أن يثبت أنه ذو قيمة كبيرة لعصابة برامج الفدية التي تتطلع إلى تحقيق الاستمرارية في بيئة الضحية.
بحسب فورترا، يمكن للمستخدمين التخفيف من المشكلة عن طريق الترقية إلى الإصدار 7.4.1 من GoAnywhere أو أعلى. بالإضافة إلى ذلك، يمكن للمستخدمين التخفيف من تأثير الثغرة الأمنية في عمليات النشر غير الحاوية عن طريق حذف الملف الأوليAccountSetup.xhtml الموجود في دليل التثبيت، ثم إعادة تشغيل الخدمة. بالنسبة للمثيلات المنشورة في الحاويات، يجب استبدال هذا الملف بملف فارغ، ثم يمكن إعادة تشغيل الخدمة.
تأخر الإفصاح يثير التساؤلات
مباشرة بعد نشر Fortra لتفاصيل المشكلة، بدأت الأسئلة تثار حول التأخير الواضح لمدة ستة أسابيع في عملية الإفصاح العام. كيتلين كوندون, سريع7 وكان مدير أبحاث الضعف والاستخبارات من بين أولئك الذين اكتشفوا التناقض.
“من الواضح أن Fortra عالجت هذه الثغرة الأمنية في إصدار GoAnywhere MFT بتاريخ 7 ديسمبر 2023، ولكن يبدو أنها لم تصدر أي استشارة حتى الآن. وفقا للقطة الشاشة ومن محمد الديب، الباحث الذي اكتشف الثغرة الأمنية، تم إرسال اتصالات خاصة إلى عملاء GoAnywhere MFT في حوالي 4 ديسمبر. كتبت في منشور بالمدونة.
وأضاف كوندون: “في فبراير 2023، تم استغلال ثغرة يوم الصفر (CVE-2023-0669) في GoAnywhere MFT في حملة ابتزاز واسعة النطاق نفذتها مجموعة برامج الفدية Cl0p. من غير الواضح من الاستشارة الأولية لـ Fortra ما إذا كان CVE-2024-0204 قد تم استغلاله في البرية، ولكننا نتوقع أن يتم استهداف الثغرة الأمنية بسرعة إذا لم تتعرض للهجوم بالفعل، لا سيما وأن الإصلاح أصبح متاحًا للهندسة العكسية لمزيد من المعلومات. من شهر. تنصح Rapid7 بشدة عملاء GoAnywhere MFT باتخاذ إجراءات الطوارئ.
بالإضافة إلى ذلك، Horizon3.ai قام زاك هانلي، قائد الفريق الأحمر وكبير مهندسي الهجوم، بنشر تفاصيل حول استغلال إثبات المفهوم ضد CVE-2024-0204، موضحًا بالتفصيل كيفية ظهوره من ضعف اجتياز المسار في Fortra GoAnywhere، والذي تمكن من الاستفادة منه لإنشاء مستخدمين إضافيين.
إن وجود ثغرة لإثبات المفهوم يزيد من الخطر المحتمل على مستخدمي Fortra GoAnywhere الذين لم يقوموا بالتحديث بعد والذين تظهر حالاتهم للعامة. من غير المعروف في وقت كتابة هذا التقرير عدد الحالات الضعيفة التي قد تكون موجودة.
كما حدد هانلي مؤشرات الاختراق المحتملة (IoCs) التي يجب على فرق الأمان البحث عنها. سيكون الأمر الأكثر وضوحًا على الفور هو الإضافة المحتملة لحسابات جديدة غير معروفة في مجموعة Admin Users في بوابة إدارة GoAnywhere، ولكن قد يرغب المحققون أيضًا في فحص السجلات الموجودة في الموقع التالي – \GoAnywhere\userdata\database\goanywhere\log \*.log – للتغييرات المحتملة.