Le code d’exploitation est désormais disponible pour une vulnérabilité critique de contournement d’authentification dans le logiciel GoAnywhere MFT (Managed File Transfer) de Fortra qui permet aux attaquants de créer de nouveaux utilisateurs administrateurs sur des instances non corrigées via le portail d’administration.
GoAnywhere MFT est un outil de transfert de fichiers géré basé sur le Web qui aide les organisations à transférer des fichiers en toute sécurité avec des partenaires et à conserver des journaux d’audit des personnes ayant accédé à tous les fichiers partagés.
Alors que Fortra a silencieusement corrigé le bogue (CVE-2024-0204) le 7 décembre avec la sortie de GoAnywhere MFT 7.4.1, la société ne l’a divulgué publiquement aujourd’hui que dans un avis offrant des informations limitées (plus de détails sont disponibles dans un avis client privé).
Cependant, Fortran a également émis des avis privés aux clients le 4 décembre avant de corriger la faille, les exhortant à sécuriser leurs services MFT pour protéger leurs données.
Il est conseillé aux administrateurs qui n’ont pas encore et ne peuvent pas immédiatement passer à la dernière version de supprimer le vecteur d’attaque en:
- Suppression de la Configuration initiale du compte.fichier xhtml dans le répertoire d’installation et redémarrage des services.
- Remplacement de la Configuration initiale du compte.fichier xhtml avec un fichier vide et redémarrage des services.
La société a déclaré mardi à Breachtrace qu’il n’y avait eu aucun rapport d’attaques exploitant cette vulnérabilité.
Aujourd’hui, près de sept semaines plus tard, les chercheurs en sécurité de l’équipe d’attaque d’Horizon3 ont publié une analyse technique de la vulnérabilité et partagé un exploit de validation de principe (PoC) qui aide à créer de nouveaux utilisateurs administrateurs sur des instances MFT GoAnywhere vulnérables exposées en ligne.
Leur exploit tire parti du problème de traversée de chemin à la racine de CVE-2024-0204 pour accéder au compte vulnérable /InitialAccountSetup.point de terminaison xhtml et démarrez l’écran de configuration initiale du compte (qui ne devrait pas être disponible après le processus de configuration du serveur) pour créer un nouveau compte administrateur.
« L’indicateur de compromission le plus simple pouvant être analysé concerne tout nouvel ajout au groupe » Utilisateurs administrateurs « dans la section Utilisateurs du portail administrateur GoAnywhere -> Utilisateurs administrateurs », a déclaré Zach Hanley, ingénieur en chef des attaques chez Horizon3.
« Si l’attaquant a laissé cet utilisateur ici, vous pourrez peut-être observer sa dernière activité de connexion ici pour évaluer une date approximative de compromission. »
Cependant, maintenant qu’Horizon3 a publié un exploit PoC, il est très probable que les auteurs de menaces commenceront à rechercher et à compromettre toutes les instances MFT GoAnywhere non corrigées.
Campagne de violation de MFT GoAnywhere de Clop
Le gang de ransomwares Clop a violé plus de 100 organisations en exploitant une faille critique d’exécution de code à distance (CVE-2023-0669) dans le logiciel GoAnywhere MFT.
Les attaques de Clop ont commencé le 18 janvier 2023 et Fortra a découvert que la faille était utilisée comme arme pour violer les serveurs de fichiers sécurisés de ses clients le 3 février.
La liste des victimes qui se sont manifestées après avoir été violées et extorquées par Clop comprend, sans toutefois s’y limiter, le géant de la santé Community Health Systems (CHS), le géant des biens de consommation Procter & Gamble, la société de cybersécurité Rubrik, Hitachi Energy, la plate-forme fintech Hatch Bank, le détaillant de marques de luxe Saks Fifth Avenue, et la ville de Toronto, Canada.
L’implication de Clop dans la campagne de vol de données de l’année dernière fait partie d’un schéma beaucoup plus large de ciblage des plateformes MFT ces dernières années.
D’autres exemples incluent la violation des serveurs FTA Accellion en décembre 2020, les serveurs SolarWinds Serv-U en 2021 et l’exploitation généralisée des serveurs MOVEit Transfer à partir du 27 mai 2023.