Los actores de amenazas podrían aprovecharse pronto de instalaciones de GoAnywhere, después de que se publicara una prueba de concepto de exploit para una vulnerabilidad crítica en el software de transferencia administrada de archivos (MFT) Fortra GoAnywhere MFT.
Horizon3 publicó detalles sobre cómo explotar CVE-2024-0204, una vulnerabilidad crítica de omisión de autenticación que Fortra parchó el 4 de diciembre de 2023, pero que el proveedor solo reveló públicamente el lunes.
El error recibe una puntuación CVSS de 9,8 y podría permitir a un usuario no autorizado crear un usuario administrador a través del portal de administración del producto, permitiéndole así tomar un control remoto completo del entorno de un cliente y acceder a su red.
GoAnywhere MFT fue atacado el año pasado por el infame grupo de extorsión de ransomware Clop de manera similar a su infame campaña MOVEit. El grupo logró comprometer los datos de alrededor de 100 organizaciones víctimas después de explotar una falla de ejecución remota de código (CVE-2023-0669) en el producto Fortra MFT.
Ahora que se ha publicado el código de explotación, es muy probable que los actores de amenazas busquen instalaciones de GoAnywhere MFT sin parches. De hecho, un proveedor ya está viendo rumores en los círculos de ciberdelincuencia.
"Ya hemos observado código de explotación de prueba de concepto que circula esta mañana por parte de actores de amenazas en al menos un canal de Telegram", advirtió el ingeniero de inteligencia de amenazas de Searchlight Cyber, Joe Honey. "Recomendamos encarecidamente que las organizaciones den prioridad al parche que se ha lanzado y supervisen el grupo de usuarios administradores dentro del software para detectar cualquier actividad no reconocida".
Horizon3 explicó cómo los clientes preocupados de Fortra pueden comprobar si ya han sido atacados. "El indicador más fácil de compromiso que se puede analizar es cualquier nueva incorporación al grupo Usuarios administradores en la sección Usuarios -> Usuarios administradores del portal de administrador de GoAnywhere. Si el atacante dejó a este usuario aquí, es posible que pueda observar su última actividad de inicio de sesión aquí para evaluar una fecha aproximada del compromiso", dijo.
Además, los registros de la base de datos se almacenan en
\GoAnywhere\userdata\database\goanywhere\log\*.log
. Estos
archivos contienen el historial de transacciones de la base de datos, para el
cual agregar usuarios creará entradas.
Fuente: InfoSecurity