Fortra は、GoAnywhere MFT セキュア ファイル転送ツールで活発に悪用されているゼロデイ脆弱性に対処するための緊急パッチをリリースしました。
この脆弱性により、攻撃者は、管理コンソールがオンラインで公開されている脆弱な GoAnywhere MFT インスタンスで、リモートでコードを実行される可能性があります。
同社は先週末、脆弱性が攻撃に悪用されていることを明らかにし(このアドバイザリには無料アカウントでのみアクセスできます)、ログに表示される特定のスタック トレースなど、影響を受ける可能性のある顧客に侵害の兆候を示しました。侵害されたシステムで。
「このスタック トレースがログに記録されている場合、このシステムが攻撃の対象であった可能性が非常に高い」と Fortra 氏は述べています。
現在、「時間に敏感」というタグが付けられた顧客ダッシュボードに更新を追加し、顧客に「できるだけ早く」インスタンスにパッチを当てるよう促しています.
「このパッチ (7.1.2) は、GoAnywhere MFTaaS に関連して先週公開されたセキュリティ アドバイザリで公開された問題の結果として作成されました。すべての GoAnywhere MFT のお客様に、このパッチを適用することを緊急にアドバイスします」と Fortra は述べています。
「ダウンロードしたら、管理者と協力してパッチをできるだけ早く適用し、特定された問題を完全に修正することをお勧めします。
「特に、インターネットに公開された管理ポータルを実行している顧客にとって、これは緊急の問題であると考えています。」
ログイン後、GoAnywhere アカウント ページの上部にある [製品のダウンロード] タブからセキュリティ パッチをダウンロードできます。
月曜日に、IT セキュリティ コンサルティング会社 Code White のセキュリティ研究者であるFlorian Hauserは、インターネットに公開され、パッチが適用されていない GoAnywhere MFT サーバーで、認証されていないリモート コード実行を達成するために使用できる概念実証エクスプロイトもリリースしました。
数十のインスタンスがオンラインで公開され、軽減策も利用可能
土曜日のアドバイザリの更新で、Fortra は次のように説明しています。 IP アドレス (Azure や AWS などのクラウド環境で実行する場合)”
ただし、Shodan スキャンでは、 1,000 近くの GoAnywhere インスタンスがインターネット上に公開されていることが明らかになりました。それにもかかわらず、ポート 8000 および 8001 (脆弱な管理コンソールで使用されるデフォルト ポート) で到達できるのは 140 をわずかに超える数にすぎません。
GoAnywere MFT 緊急セキュリティ パッチをすぐに適用できない場合は、信頼できるソースからのみ管理インターフェイスへのアクセスを許可するアクセス制御を実装するか、ライセンス サービスを無効にする必要がある、会社の緩和策に従うことができます。
組み込みの脆弱なライセンス サーバーを無効にするには、管理者は web.xml ファイル内の License Response Servlet のサーブレットおよびサーブレット マッピング構成をコメント アウトするか削除する必要があります。これにより、脆弱なエンドポイントが無効になります。
変更を行い、変更した web.xml ファイルを保存した後、新しい構成を適用するには再起動も必要です。
「環境内のデータがアクセスまたはエクスポートされた可能性があるため、環境内の他のシステムの資格情報を保存しているかどうかを判断し、それらの資格情報が取り消されていることを確認する必要があります」と Fortra は付け加えました。
「これには、GoAnywhere が統合されている外部システムへのアクセスに使用されるパスワードとキーが含まれます。
「これらの外部システムからすべての資格情報が取り消されていることを確認し、それらのシステムに関連する関連するアクセス ログを確認します。これには、システム内のファイルの暗号化に使用されるパスワードとキーも含まれます。」
Comments