Задаются вопросы о том, сколько времени потребовалось компании Fortra, чтобы выпустить публичное уведомление о недавно обнаруженной критической уязвимости в ее решении для безопасного обмена файлами GoAnywhere MFT (managed file transfer).
Баг, отслеживаемый как CVE-2024-0204, имеет CVSSv3-оценку 9,8 и может позволить хакеру удаленно создать нового пользователя-администратора через портал администрирования программы.
Он появился спустя 12 месяцев после того, как группа вымогателей Clop начала использовать уязвимость нулевого дня в GoAnywhere MFT для взлома более 130 организаций.
Хотя компания Fortra в частном порядке сообщила клиентам о последней уязвимости в прошлом месяце, она опубликовала соответствующее уведомление только 22 января, более чем через шесть недель после выпуска своего последнего обновления GoAnywhere MFT 7.4.1, в котором ошибка была исправлена.
"Fortra, очевидно, устранила эту уязвимость в выпуске GoAnywhere MFT от 7 декабря 2023 года, но, судя по всему, до сих пор не выпустила соответствующее уведомление", — отметила директор по анализу уязвимостей Rapid7 Кейтлин Кондон (Caitlin Condon) в своем блоге 23 января.
Скорейшее публичное оповещение о новой обнаруженной уязвимости позволяет более эффективно распространить информацию об этом баге среди сообщества специалистов по безопасности, а командам безопасности и системным администраторам — правильно расставить приоритеты в графике исправлений для достижения максимальной эффективности.
Согласно сообщению, опубликованному в тот же день Заком Хэнли из Horizon3.ai, клиенты GoAnywhere MFT были уведомлены о проблеме через внутреннее сообщение с рекомендациями по безопасности, и 4 декабря было выпущено исправление.
Хотя компания Fortra заявила, что у нее нет сообщений об активном использовании бага в естественных условиях, Кондон отметил: "мы ожидаем, что уязвимость быстро станет объектом атаки, если она еще не подверглась нападению, особенно учитывая, что исправление доступно для реинжиниринга уже более месяца".
Конечно, исследователи обратили на уязвимость пристальное внимание, и, скорее всего, угрожающие группы не отстают.
В посте Хэнли приводится технический анализ уязвимости, а Horizon3.ai также опубликовала доказательство концепции эксплойта на GitHub.
"В 2023 году приложения для передачи файлов станут главной целью угроз", — отметил Хэнли.
Помимо ущерба, нанесенного в результате эксплуатации предыдущего бага GoAnywhere MFT, в прошлом году Clop также посеял хаос своей масштабной атакой на цепочку поставок MOVEit Transfer.
Новая уязвимость Fortra затрагивает все версии GoAnywhere MFT с 6.0.0 по 7.4.0.
По словам Кондона, клиенты GoAnywhere MFT, которые еще не обновились до последней исправленной версии, должны сделать это в срочном порядке, не дожидаясь регулярного цикла исправлений.
"Организациям также следует убедиться, что административные порталы не выходят в публичный интернет".
В своем сообщении Fortra заявила, что уязвимость также может быть устранена в неконтейнерных развертываниях программного обеспечения путем удаления файла InitialAccountSetup.xhtml в каталоге установки и перезапуска служб.
В развернутых контейнерах клиенты могли заменить файл на пустой и перезапустить его.