I ricercatori hanno analizzato la vulnerabilità CVE-2024-0204 presente nel software FortraGoAnywhere MFT (in inglese MFT, Managed Files Transfer) e hanno pubblicato un codice exploit che la sfrutta. Vi spieghiamo quali sono i pericoli e cosa dovrebbero fare le aziende che utilizzano questo software.
Vulnerabilità CVE-2024-0204 in GoAnywhere MFT
Prima di tutto, partiamo raccontandovi brevemente la storia di questa vulnerabilità presente in GoAnywhere. In realtà, Fortra, l’azienda che sviluppa questa soluzione, ha patchato questa vulnerabilità all’inizio di dicembre 2023 con il rilascio di GoAnywhere MFT 7.4.1. Tuttavia, all’epoca, l’azienda decise di non divulgare alcuna informazione sulla vulnerabilità, limitandosi a dare consigli privati ai suoi clienti.
Il funzionamento della vulnerabilità è il seguente. Dopo che un utente ha completato la configurazione iniziale di GoAnywhere, un internal logic del prodotto blocca l’accesso alla pagina di configurazione iniziale dell’account. Quando l’utente tenta di accedere a questa pagina, viene reindirizzato al pannello di amministrazione (se è autenticato come amministratore) o alla pagina di autenticazione.
Tuttavia, i ricercatori hanno scoperto che è possibile utilizzare un percorso alternativo al file InitialAccountSetup.xhtml, di cui la logica di reindirizzamento non tiene conto. In questo caso, GoAnywhere MFT consente a chiunque di accedere a questa pagina e creare un nuovo account utente con privilegi di amministratore.
Come prova della fattibilità dell’attacco, i ricercatori hanno scritto e pubblicato un breve script in grado di creare un account amministratore nelle versioni vulnerabili di GoAnywhere MFT. Tutto ciò che serve a un cybercriminale è specificare il nome di un nuovo account, una password (l’unico requisito è che contenga almeno otto caratteri, il che è già di per sé interessante) e il seguente percorso:
In generale, questa vulnerabilità ricorda molto quella scoperta in Atlassian Confluence Data Center e Confluence Server di pochi mesi fa; anche in quel caso era possibile creare account amministratore in pochi semplici passaggi.
Fortra ha assegnato alla vulnerabilità CVE-2024-0204 lo stato “critico”, con un punteggio CVSS 3.1 pari a 9,8 su 10.
A questo punto, però, è necessario fornire un po’ di contesto. Nel 2023, il gruppo ransomware Clop aveva già sfruttato le vulnerabilità di Fortra GoAnywhere MFT e di prodotti simili di altri sviluppatori (come Progress MOVEit, Accellion FTA e SolarWinds Serv-U) nel tentativo di attaccare centinaia di aziende in tutto il mondo. Tra le organizzazioni e gli enti pubblici che hanno subito lo sfruttamento della vulnerabilità di GoAnywhere MFT figurano Procter & Gamble, Community Health Systems (CHS è una delle più grandi reti ospedaliere degli Stati Uniti) e il comune di Toronto.
Come difendersi dallo sfruttamento di CVE-2024-0204
Il modo più evidente per proteggersi dallo sfruttamento di questa vulnerabilità è aggiornare immediatamente GoAnywhere MFT alla versione 7.4.1 che corregge il criterio di logica e nega l’accesso alla pagina InitialAccountSetup.xhtml.
Se per qualche motivo non è possibile installare l’aggiornamento, è possibile provare una di queste due semplici soluzioni:
- cancellare il file InitialAccountSetup.xhtml nella cartella di installazione e riavviare il servizio;
oppure
- sostituire InitialAccountSetup.xhtml con un file vuoto e riavviare il servizio.
È inoltre importante utilizzare una soluzione EDR per monitorare le attività sospette nella rete aziendale. Se il vostro team interno di cybersecurity non ha le competenze o le risorse necessarie, potete utilizzare un servizio esterno che realizzaerà continue scansioni alla ricerca di minacce che potrebbero colpire la vostra organizzazione e vi offrirà una rapida risposta.