Подробный разбор: PDF, зеркало PDF
CVE-2024–0204 как ключ под ковриком, для не прошедших проверку подлинности, и желающих создать своего собственного пользователя-администратора. Эта уязвимость может быть использована удаленно и является классическим примером CWE-425: “Принудительный доступ, когда веб-приложение просто слишком вежливое, чтобы обеспечить надлежащую авторизацию”. Уязвимые версии 6.x начиная с 6.0.1 и версии 7.x до 7.4.1, которая была исправлена, а для уязвимых версией необходимо удалить файл /InitialAccountSetup.xhtml или заменить на пустой с перезапуском службы.
Теперь давайте поговорим о самом GoAnywhere MFT. Это защищённое программное решение, которое, как предполагается, упрощает обмен данными и повышает безопасность, что довольно забавно, учитывая обстоятельства. Оно может быть развёрнуто локально, в облаке или в гибридных средах и поддерживает множество операционных систем и протоколов
А последствия этой уязвимости подобны альбому величайших хитов о кошмарах кибербезопасности:
❇️Создание неавторизованных пользователей-администраторов (акция “избавляемся от складских запасов аутентификационных ключей”)
❇️Потенциальная утечка данных (для повышения популярности компании)
❇️Внедрение вредоносных программ (вместо традиционных схем распространения)
❇️Риск вымогательства (минутка шантажа)
❇️Сбои в работе (разнообразие от повелителя хаоса)
❇️Комплаенс и юридические вопросы (ничто так не оживляет зал заседаний, как старый добрый скандал с комплаенсом и потенциальная юридическая драма)
Планка “сложности атаки” установлена так низко, заставляет задуматься, не является ли “безопасность” просто модным словом, которым они пользуются, чтобы казаться важными.
Итак, вот сценарии блокбастерной атаки для этой феерии обхода аутентификации:
❇️ Первоначальный доступ: наш неустрашимый злоумышленник заходит на портал администрирования GoAnywhere MFT без вашего разрешения.
❇️ Эксплуатация: далее наш злодей использует /InitialAccountSetup.xhtml и никто ничего не может сделать с этим.
❇️ Создание пользователя-администратора: далее злоумышленники могут создать пользователя-администратора. Заметьте, это не просто любой пользователь; это тот, у которого есть все навороты — чтение, запись, выполнение команд.
❇️ Потенциальная дальнейшая эксплуатация: С ключами от королевства наш злоумышленник теперь может делать все самое интересное: получать доступ к конфиденциальным данным, внедрять вредоносное ПО или просто получать полный контроль, потому что, почему бы и нет? Это бесплатно для всех!
Короче говоря, CVE-2024–0204 достойное внимания напоминание о том, что, возможно, просто возможно, следует отнестись ко всей этой истории с “безопасностью” немного серьёзнее.