Fortra met en garde contre une nouvelle vulnérabilité de contournement d’authentification affectant les versions de GoAnywhere MFT (Managed File Transfer) antérieures à 7.4.1 qui permet à un attaquant de créer un nouvel utilisateur administrateur.

GoAnywhere MFT est utilisé par des organisations du monde entier pour sécuriser les transferts de fichiers avec des clients et des partenaires commerciaux. Il prend en charge les protocoles de cryptage sécurisés, l’automatisation, le contrôle centralisé et divers outils de journalisation et de reporting qui facilitent la conformité légale et l’audit.

La faille nouvellement divulguée est suivie sous le numéro CVE-2024-0204 et est classée critique avec un score CVSS v3. 1 de 9,8 car elle est exploitable à distance, permettant à un utilisateur non autorisé de créer des utilisateurs administrateurs via le portail d’administration du produit.

La création de comptes arbitraires avec des privilèges administratifs peut conduire à une prise de contrôle complète de l’appareil. Dans le cas de Go Anywhere MFT, cela permettrait aux attaquants d’accéder à des données sensibles, d’introduire des logiciels malveillants et potentiellement de permettre de nouvelles attaques au sein du réseau.

La faille affecte Fortra GoAnywhere MFT 6.x de 6.0.1 et Fortra GoAnywhere MFT 7.4.0 et versions antérieures et a été corrigé dans GoAnywhere MFT 7.4.1, publié le 7 décembre 2023. Fortra conseille à tous les utilisateurs d’installer la dernière mise à jour (actuellement 7.4.1) pour corriger la vulnérabilité.

Fortra fournit également les deux voies d’atténuation manuelles suivantes dans l’avis:

  1. Supprimez la Configuration initiale du compte.fichier xhtml dans le répertoire d’installation et redémarrez les services.
  2. Remplacez la Configuration initiale du compte.fichier xhtml avec un fichier vide et redémarrez les services.

Une chose à noter est que CVE-2024-0204 a été découvert le 1er décembre 2023 par Mohammed Eldeeb et Islam Elrfai de Spark Engineering Consultants. Cela dit, un temps considérable s’est écoulé depuis la divulgation initiale.

Fortra n’a pas précisé si la vulnérabilité est activement exploitée ou non. Cependant, maintenant que Fortra a publié des atténuations et un indice sur l’endroit où rechercher le bogue, il ne serait pas surprenant que des exploits PoC soient publiés bientôt.

Breachtrace a contacté le fournisseur du logiciel pour savoir s’il était activement exploité, mais nous n’avons pas eu de nouvelles.

Clopez les attaques MFT partout où vous allez
Début 2023, il a été révélé que le gang de ransomwares Clop avait violé 130 entreprises et organisations en exploitant une faille critique d’exécution de code à distance dans GoAnywhere MFT.

La faille est suivie sous le numéro CVE-2023-0669 et était exploitée en tant que vulnérabilité zero-day depuis le 18 janvier 2023. Fortra a découvert son exploitation le 3 février 2023 et a publié des correctifs trois jours plus tard.

Malheureusement, le mal était déjà fait, Clop menant des attaques de vol de données généralisées qui ont eu un impact sur les organisations du monde entier, provoquant des fuites de données, des atteintes à la réputation et des perturbations opérationnelles.

Parmi les victimes notables de ces attaques figurent Crown Resorts, CHS, Hatch Bank, Rubrik, la Ville de Toronto, Hitachi Energy, Procter & Gamble et Saks Fifth Avenue.

Fortra a gardé une position énigmatique à l’égard des demandes de la presse pour des détails sur la situation et n’a communiqué les résultats de son enquête interne qu’à la mi-avril 2023.

Compte tenu de ce qui précède, les organisations utilisant Fortra GoAnywhere MFT doivent appliquer les mises à jour de sécurité disponibles et les mesures d’atténuation recommandées dès que possible et examiner leurs journaux à la recherche d’activités suspectes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *