Explotación de vulnerabilidad crítica en GoAnywhere MFT

Es el momento de actualizar Fortra GoAnywhere MFT: se ha desarrollado un exploit para una vulnerabilidad crítica que permite a los atacantes eludir la autenticación y crear cuentas de administrador

Los investigadores han analizado la vulnerabilidad CVE-2024-0204 en el software Fortra GoAnywhere MFT (MFT de managed file transfer, que significa transferencia de archivos administrada) y han publicado un código de explotación que se aprovecha de esa vulnerabilidad. Explicamos por qué es peligroso y qué deben de hacer las organizaciones que hacen uso de este software

La vulnerabilidad CVE-2024-0204 en GoAnywhere MFT

Empecemos contando brevemente la historia de esta vulnerabilidad en GoAnywhere. De hecho, Fortra, la compañía que desarrolló esta solución puso remedio a esta vulnerabilidad a principios de diciembre de 2023 con el lanzamiento de GoAnywhere MFT 7. 4.1. Sin embargo, en ese momento, la empresa optó por no revelar ninguna información sobre la vulnerabilidad, limitándose a enviar recomendaciones por privado a sus clientes.

La esencia de esta vulnerabilidad es la siguiente. Después de que un usuario haya completado la configuración inicial de GoAnywhere, la lógica interna del producto bloquea el acceso a la página de configuración inicial de la cuenta. Después, cuando intenta acceder a esta página, se le redirige al panel de administración si están autenticados como administrador, o a la página de autenticación.

Sin embargo, los investigadores han descubierto que se puede utilizar una ruta alternativa al archivo InitialAccountSetup.xhtml, que la lógica de redirección no tiene en cuenta. En este escenario, GoAnywhere MFT permite que cualquiera acceda a esta página y cree un nuevo usuario con privilegios de administrador.

Como prueba de la viabilidad del ataque, los investigadores escribieron y publicaron un breve texto que pudiera crear cuentas de administrador en versiones vulnerables de GoAnywhere MFT. Todo lo que el atacante necesita es especificar un nuevo nombre de cuenta, una contraseña (cuyo único requisito es que contenga un mínimo de ocho caracteres, que es algo ya de por sí interesante) y la ruta:

Parte del código de explotación para la vulnerabilidad CVE-2024-0204 en Fortra GoAnywhere MFT

Parte del código de explotación para la vulnerabilidad CVE-2024-0204 en Fortra GoAnywhere MFT. Resaltado en rojo está la ruta alternativa a la página de configuración inicial de la cuenta que permie la creación de usuarios con privilegios de administrador

En general, esta vulnerabilidad se parece mucho a la descubierta en Atlassian Confluence Data Center and Confluence Server hace unos meses, cuando también era posible crear cuentas de administrador con unos sencillos pasos.

Fortra asignó el estado “crítico” a la vulnerabilidad CVE-2024-0204, con una puntuación CVSS 3.1 de 9,8 sobre 10.

Quizá sea interesante contextualizarlo. En 2023, el grupo de ransomware Clop ya aprovechó la vulnerabilidad de Fortra GoAnywhere FT y también productos similares de otros desarrolladores — Progress MOVEit, Accellion FTA, and SolarWinds Serv-U — para atacar a cientos de organizaciones en todo el mundo. En particular a empresas como Procter & Gamble, Community Health Systems (CHS es una de las redes hospitalarias más grandes de Estados Unidos) y el municipio de Toronto sufrieron la explotación de la vulnerabilidad GoAnywhere MFT.

Cómo defenderse de la explotación CVE-2024-0204

La forma más clara de protegerse contra la explotación de esta vulnerabilidad es actualizar GoAnywhere MFT a la versión 7. 4. 1. lo antes posible para así corregir la lógica para denegar el acceso a la página InitialAccountSetup.xhtml.

Si por alguna razón no puedes instalar la actualización, puedes probar con alguna de las siguientes sencillas soluciones:

  • Elimina el archivo InitialAccountSetup.xhtml de la carpeta de instalación y reinicia el servicio
  • Reemplaza InitialAccountSetup.xhtml con un archivo en blanco y reinicia el servicio

También puedes utilizar la solución EDR (Kaspersky Endpoint Detection and Response Expert) para monitorizar cualquier actividad sospechosa en la red corporativa. Si el equipo interno de ciberseguridad carece de las habilidades o recursos necesarios para ello, puedes utilizar un servicio externo para que busque continuamente amenazas contra la organización y que pueda actuar de manera rápida frente a ellas.

Consejos