En säkerhetsforskare har precis dumpat en proof-of-Concept-kod för GoAnywhere MFT som kan leda till att vem som helst kommer åt ett sårbart GoAnywhere-system utan autentisering.
Eftersom en webbskanning avslöjade över 1 000 GoAnywhere MFT exponerade online, varnar forskare systemadministratörer att tillämpa de tillgängliga begränsningsåtgärderna så snart som möjligt för att undvika hacker. GoAnywhere OEM har ännu inte erkänt och släppt en patch för detta.
Utnyttja GoAnywhere MFT
GoAnywhere MFT är ett webbaserat hanterat filöverföringsverktyg för organisationer att dela filer säkert med sina partners och spåra granskningsloggarna för vem som har åtkomst till de delade filerna. Eftersom det är ett viktigt verktyg för allvarliga företag i deras vanliga verksamhet, bör alla sårbarheter som upptäcks i detta omedelbart åtgärdas.
Men tillverkaren Fortra har ännu inte erkänt en bugg i GoAnywhere MFT som kan låta vem som helst oautentiserad komma åt systemet på distans och utnyttja det. Fortra är också utvecklare av ett brett utnyttjat verktyg vid namn Cobalt Strike i flera hackincidenter.
På måndag, en säkerhetsforskare vid namn Florian Hauser från Code White släpptes en proof-of-concept-kod för att utnyttja GoAnywhere MFTs på distans! Även om OEM:erna säger att den initiala vektorn behöver tillgång till applikationens administrativa konsol, finns det många av dem som exponeras för allmänheten utan många begränsningar.
Bra gjort @frycosen så söt pre-auth RCE! https://t.co/JRE9DcXOGb pic.twitter.com/cJlvEmL2Km
— ϻг_ϻε (@[email protected]) (@steventseeley) 4 februari 2023
En Shodan-skanning visar det runt 1 000 GoAnywhere-instanser exponeras på Internet, med över 140 med 8 000 och 8 001 portar öppna för vem som helst! Dessa anses vara åtkomstpunkterna för den sårbara administratörskonsolen.
Tillverkaren (Fortra) har ännu inte erkänt detta problem, så det finns ingen patchuppdatering tillgänglig för närvarande för att fixa det. Men det delade en privat rådgivning (inloggning krävs för att se) att detaljerade indikatorer på kompromiss – där den uppmanar användare att leta efter en specifik stackspårning som dyker upp i loggarna på komprometterade system.
Om du hittar något som sådant, tänk på att ditt system har brutits och kontakta GoAnywhere-teamet omedelbart. Om inte, det rekommenderas starkt att följa företagets begränsningsråd om att begränsa åtkomsten till endast de som verkligen behöver det eller inaktivera licenstjänsten.
I det senare fallet måste systemadministratörer inaktivera den sårbara slutpunkten. När du är klar, starta om enheten för att tillämpa dessa ändringar.
Och när du väl har vidtagit begränsningsåtgärder rekommenderar Fortra också att du gör följande saker för att vara extra säker och undvika andra relaterade hacks som uppstår ur denna incident;
- Rotera din huvudkrypteringsnyckel.
- Återställ autentiseringsuppgifter – nycklar och/eller lösenord – för alla externa handelspartners/system.
- Granska granskningsloggar och ta bort alla misstänkta administratörs- och/eller webbanvändarkonton.
- Kontakta GoAnywhere-supporten via deras portal för ytterligare hjälp.
