Notícias de dispositivos móveis, gadgets, aplicativos Android

Exploit lançado para falha de dia zero na transferência de arquivos GoAnywhere

Uma vulnerabilidade de dia zero que afeta instâncias locais da solução de transferência de arquivos gerenciada por MFT GoAnywhere da Fortra foi explorada ativamente, de acordo com um aviso postado no Mastodon pelo pesquisador de segurança Brian Krebs.

GoAnywhere é um aplicativo seguro de transferência de arquivos da web que permite às empresas compartilhar dados criptografados com segurança com parceiros, mantendo registros de auditoria completos de acesso a arquivos.

O problema é uma falha de injeção remota de código que precisa de acesso ao console do administrador para ser explorada de forma eficaz.

“Uma exploração de injeção remota de código de dia zero foi identificada no GoAnywhere MFT”, de acordo com o Consultoria de segurança GoAnywhere.

“O vetor de ataque desta exploração requer acesso ao console administrativo do aplicativo, que na maioria dos casos é acessível apenas de dentro de uma rede privada da empresa, através de VPN ou por endereços IP listados como permitidos (quando executado em ambientes de nuvem, como Azure ou AWS).

Para descobrir quantas instâncias do GoAnywhere são acessíveis publicamente na Internet, o especialista em segurança Kevin Beaumont usou o Shodan e descobriu 1.008 servidores, principalmente nos EUA.

De acordo com o Rapid7, os clientes do GoAnywhere MFT devem verificar todas as contas administrativas e ficar atentos a nomes de usuário que não sejam familiares, principalmente aqueles que foram criados pelo sistema.

“O consultor Fortra citado por Krebs aconselha os clientes do GoAnywhere MFT a revisar todos os usuários administrativos e monitorar nomes de usuários não reconhecidos, especialmente aqueles criados pelo sistema,” Rapid7 disse.

“A dedução lógica é que o Fortra provavelmente está observando um comportamento subsequente do invasor que inclui a criação de novos usuários administrativos ou outros usuários para assumir ou manter a persistência em sistemas-alvo vulneráveis.”

Nós recomendamos:  Google lança o primeiro Project Stream convida para jogos de console diretamente no Chrome

O pesquisador de segurança Florian Hauser, da empresa de consultoria de segurança de TI Code White, divulgou informações técnicas e código de exploração de prova de conceito na segunda-feira que permite que servidores GoAnywhere MFT vulneráveis ​​executem código remoto não autenticado.

“Eu poderia fornecer um PoC funcional (comparar o hash e a hora do meu tweet) aos meus colegas de equipe em poucas horas no mesmo dia para proteger nossos clientes primeiro”, de acordo com Hauser.

“O vetor de ataque desta exploração requer acesso ao console administrativo do aplicativo, que na maioria dos casos é acessível apenas de dentro de uma rede privada da empresa, através de VPN ou por endereços IP listados como permitidos (quando executado em ambientes de nuvem, como Azure ou AWS”, explicar Fortra.

Uma varredura Shodan, no entanto, revela que quase 1.000 instâncias do GoAnywhere estão abertas na Internet, com cerca de 140 nas portas 8000 e 8001 (aquelas usadas pelo console de administração vulnerável).

A empresa ainda não tornou pública essa fraqueza de segurança RCE de pré-autenticação remota. Portanto, você deve primeiro se inscrever em uma conta gratuita para ler o alerta e, ao não liberar atualizações de segurança para corrigir a vulnerabilidade, todas as instalações expostas permanecerão sujeitas a ataques.

“Se este stacktrace estiver nos logs, é muito provável que este sistema tenha sido alvo de ataque”, Fortra diz.

Embora um stacktrace específico que aparece nos logs de sistemas comprometidos seja uma das indicações de comprometimento listadas no comunicado privado.

Mitigação

A empresa oferece orientações de mitigação, como a implementação de controles de acesso para restringir o acesso à interface do administrador GoAnywhere MFT a usuários autorizados ou a desativação do serviço de licenciamento.

Nós recomendamos:  Preço, especificações e outros detalhes

Os administradores devem remover ou comentar a configuração de mapeamento de servlet do License Response Servlet do arquivo web.xml para parar o servidor de licenciamento.

A configuração atualizada só pode ser usada após uma reinicialização.

“Devido ao fato de que os dados em seu ambiente podem ter sido acessados ​​ou exportados, você deve determinar se armazenou credenciais para outros sistemas no ambiente e certificar-se de que essas credenciais foram revogadas”, Fortra fez esta atualização em uma atualização de sábado.

“Isso inclui senhas e chaves usadas para acessar quaisquer sistemas externos com os quais o GoAnywhere esteja integrado.

“Certifique-se de que todas as credenciais foram revogadas desses sistemas externos e revise os registros de acesso relevantes relacionados a esses sistemas. Isso também inclui senhas e chaves usadas para criptografar arquivos dentro do sistema.”