Un investigador de seguridad acaba de descargar un código de prueba de concepto para GoAnywhere MFT que puede llevar a cualquier persona a acceder a un sistema GoAnywhere vulnerable sin ninguna autenticación.
Dado que un escaneo web reveló más de 1000 GoAnywhere MFT expuestos en línea, los investigadores advierten a los administradores del sistema que apliquen las medidas de mitigación disponibles lo antes posible para evitar ataques. El OEM de GoAnywhere aún debe reconocer y lanzar un parche para esto.
Explotar el GoAnywhere MFT
GoAnywhere MFT es una herramienta de transferencia de archivos administrada basada en la web para que las organizaciones compartan archivos de forma segura con sus socios y realicen un seguimiento de los registros de auditoría de quién ha accedido a los archivos compartidos. Como es una herramienta importante para las empresas severas en su negocio regular, cualquier vulnerabilidad detectada en esto debe abordarse de inmediato.
Sin embargo, el fabricante de Fortra aún debe reconocer un error en GoAnywhere MFT que puede permitir que cualquier persona no autenticada acceda al sistema de forma remota y lo explote. Fortra también es el desarrollador de una herramienta ampliamente explotada llamada Cobalt Strike en varios incidentes de piratería.
Los lunes, un investigador de seguridad llamado Florian Hauser de Code White liberado un código de prueba de concepto ¡para explotar las MFT de GoAnywhere, de forma remota! Aunque los OEM dicen que el vector inicial necesita acceso a la consola administrativa de la aplicación, hay muchos de ellos expuestos al público sin muchas restricciones.
Bien hecho @frycos¡un RCE previo a la autenticación tan dulce! https://t.co/JRE9DcXOGb pic.twitter.com/cJlvEmL2Km
– ϻг_ϻε (@[email protected]) (@steventseeley) 4 de febrero de 2023
Un escaneo Shodan muestra que alrededor de 1,000 instancias de GoAnywhere están expuestas en Internet, ¡con más de 140 que tienen puertos 8000 y 8001 abiertos para cualquiera! Estos se consideran los puntos de acceso a la consola de administración vulnerable.
El fabricante (Fortra) aún no ha reconocido este problema, por lo que no hay una actualización de parche disponible a partir de ahora para solucionarlo. Pero, compartió un asesoramiento privado (se necesita iniciar sesión para ver) que los indicadores detallados de compromiso: donde pide a los usuarios que busquen un seguimiento de pila específico que aparezca en los registros de los sistemas comprometidos.
Si encuentra algo así, considere que su sistema ha sido violado y comuníquese con el equipo de GoAnywhere de inmediato. Si no, se recomienda encarecidamente seguir los consejos de mitigación de la empresa de limitar el acceso solo a aquellos que realmente lo necesitan o deshabilitar el servicio de licencias.
En este último caso, los administradores del sistema deben “comente o elimine el servlet y la configuración de mapeo de servlet para el servlet de respuesta de licencia en el archivo web.xml” para deshabilitar el punto final vulnerable. Una vez hecho esto, reinicie su dispositivo para aplicar estos cambios.
Y una vez que haya tomado medidas de mitigación, Fortra también recomienda hacer lo siguiente para mantenerse más seguro y evitar otros ataques relacionados que surjan de este incidente;
- Rote su clave maestra de cifrado.
- Restablecer credenciales (claves y/o contraseñas) para todos los socios comerciales/sistemas externos.
- Revise los registros de auditoría y elimine las cuentas de administrador y/o usuario web sospechosas.
- Comuníquese con el soporte de GoAnywhere a través de su portal para obtener más ayuda.
