{"id":29584,"date":"2024-02-01T12:54:45","date_gmt":"2024-02-01T10:54:45","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=29584"},"modified":"2024-02-01T12:54:45","modified_gmt":"2024-02-01T10:54:45","slug":"exploit-authentication-bypass-vulnerability-goanywhere-mft","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/exploit-authentication-bypass-vulnerability-goanywhere-mft\/29584\/","title":{"rendered":"Explotaci\u00f3n de vulnerabilidad cr\u00edtica en GoAnywhere MFT"},"content":{"rendered":"

Los investigadores han analizado<\/a> la vulnerabilidad CVE-2024-0204 en el software Fortra GoAnywhere MFT<\/em> (MFT de managed file transfer, que significa transferencia de archivos administrada) y han publicado un c\u00f3digo de explotaci\u00f3n que se aprovecha de esa vulnerabilidad. Explicamos por qu\u00e9 es peligroso y qu\u00e9 deben de hacer las organizaciones que hacen uso de este software<\/p>\n

La vulnerabilidad CVE-2024-0204 en GoAnywhere MFT<\/strong><\/h2>\n

Empecemos contando brevemente la historia de esta vulnerabilidad en GoAnywhere. De hecho, Fortra, la compa\u00f1\u00eda que desarroll\u00f3 esta soluci\u00f3n puso remedio a esta vulnerabilidad a principios de diciembre de 2023 con el lanzamiento de GoAnywhere MFT 7. 4.1. Sin embargo, en ese momento, la empresa opt\u00f3 por no revelar ninguna informaci\u00f3n sobre la vulnerabilidad, limit\u00e1ndose a enviar recomendaciones por privado a sus clientes.<\/p>\n

La esencia de esta vulnerabilidad es la siguiente. Despu\u00e9s de que un usuario haya completado la configuraci\u00f3n inicial de GoAnywhere, la l\u00f3gica interna del producto bloquea el acceso a la p\u00e1gina de configuraci\u00f3n inicial de la cuenta. Despu\u00e9s, cuando intenta acceder a esta p\u00e1gina, se le redirige al panel de administraci\u00f3n si est\u00e1n autenticados como administrador, o a la p\u00e1gina de autenticaci\u00f3n.<\/p>\n

Sin embargo, los investigadores han descubierto que se puede utilizar una ruta alternativa al archivo InitialAccountSetup.xhtml, que la l\u00f3gica de redirecci\u00f3n no tiene en cuenta. En este escenario, GoAnywhere MFT permite que cualquiera acceda a esta p\u00e1gina y cree un nuevo usuario con privilegios de administrador.<\/p>\n

Como prueba de la viabilidad del ataque, los investigadores escribieron y publicaron un breve texto que pudiera crear cuentas de administrador en versiones vulnerables de GoAnywhere MFT. Todo lo que el atacante necesita es especificar un nuevo nombre de cuenta, una contrase\u00f1a (cuyo \u00fanico requisito es que contenga un m\u00ednimo de ocho caracteres, que es algo ya de por s\u00ed interesante) y la ruta:<\/p>\n

\"Parte<\/a>

Parte del c\u00f3digo de explotaci\u00f3n para la vulnerabilidad CVE-2024-0204 en Fortra GoAnywhere MFT. Resaltado en rojo est\u00e1 la ruta alternativa a la p\u00e1gina de configuraci\u00f3n inicial de la cuenta que permie la creaci\u00f3n de usuarios con privilegios de administrador<\/p><\/div>\n

En general, esta vulnerabilidad se parece mucho a la descubierta en Atlassian Confluence Data Center and Confluence Server hace unos meses, cuando tambi\u00e9n era posible crear cuentas de administrador con unos sencillos pasos.<\/p>\n

Fortra asign\u00f3 el estado \u201ccr\u00edtico\u201d a la vulnerabilidad CVE-2024-0204<\/a>, con una puntuaci\u00f3n CVSS 3.1 de 9,8 sobre 10.<\/p>\n

Quiz\u00e1 sea interesante contextualizarlo. En 2023, el grupo de ransomware Clop ya aprovech\u00f3 la vulnerabilidad de Fortra GoAnywhere FT y tambi\u00e9n productos similares de otros desarrolladores \u2014 Progress MOVEit<\/a>, Accellion FTA, and SolarWinds Serv-U \u2014 para atacar a cientos de organizaciones en todo el mundo. En particular a empresas como Procter & Gamble, Community Health Systems (CHS es una de las redes hospitalarias m\u00e1s grandes de Estados Unidos) y el municipio de Toronto sufrieron la explotaci\u00f3n de la vulnerabilidad GoAnywhere MFT.<\/p>\n

C\u00f3mo defenderse de la explotaci\u00f3n CVE-2024-0204<\/h2>\n

La forma m\u00e1s clara de protegerse contra la explotaci\u00f3n de esta vulnerabilidad es actualizar GoAnywhere MFT a la versi\u00f3n 7. 4. 1. lo antes posible para as\u00ed corregir la l\u00f3gica para denegar el acceso a la p\u00e1gina InitialAccountSetup.xhtml.<\/p>\n

Si por alguna raz\u00f3n no puedes instalar la actualizaci\u00f3n, puedes probar con alguna de las siguientes sencillas soluciones:<\/p>\n