Ngày 04 tháng 2 năm 2023Ravie LakshmananNgày không / Lỗ hổng
Lỗ hổng zero-day ảnh hưởng đến ứng dụng truyền tệp được quản lý GoAnywhere MFT của Fortra đang bị khai thác tích cực trong thực tế.
Chi tiết về lỗ hổng lần đầu tiên được chia sẻ công khai bởi phóng viên bảo mật Brian Krebs trên Mastodon. Không có tư vấn công khai đã được xuất bản bởi Fortra.
Lỗ hổng bảo mật là một trường hợp tiêm mã từ xa yêu cầu quyền truy cập vào bảng điều khiển quản trị của ứng dụng, khiến hệ thống bắt buộc không được tiếp xúc với internet công cộng.
Theo nhà nghiên cứu bảo mật Kevin Beaumont, có hơn 1.000 trường hợp tại chỗ có thể truy cập công khai qua internet, phần lớn trong số đó được đặt tại Hoa Kỳ
Nhà nghiên cứu Caitlin Condon của Rapid7 cho biết: “Lời khuyên của Fortra mà Krebs đã trích dẫn khuyên các khách hàng của GoAnywhere MFT nên xem xét tất cả người dùng quản trị và theo dõi các tên người dùng không được công nhận, đặc biệt là những tên được tạo bởi hệ thống”.
“Suy luận hợp lý là Fortra có khả năng nhìn thấy hành vi tiếp theo của kẻ tấn công bao gồm việc tạo quản trị viên mới hoặc người dùng khác để tiếp quản hoặc duy trì sự tồn tại trên các hệ thống mục tiêu dễ bị tấn công.”
Ngoài ra, công ty an ninh mạng cho biết các tác nhân đe dọa có thể khai thác thông tin xác thực được sử dụng lại, yếu hoặc mặc định để có quyền truy cập quản trị vào bảng điều khiển.
Hiện tại không có bản vá nào cho lỗ hổng zero-day, mặc dù Fortra đã phát hành các giải pháp thay thế để xóa cấu hình “License Response Servlet” khỏi tệp web.xml.
Các lỗ hổng trong các giải pháp truyền tệp đã trở thành mục tiêu hấp dẫn đối với các tác nhân đe dọa, với các lỗ hổng trong Accellion và FileZen được vũ khí hóa để đánh cắp và tống tiền dữ liệu.
