インターネットに公開された GoAnywhere MFT 管理コンソールに影響を与えるゼロデイ リモート コード実行の脆弱性を悪用するコードがリリースされました。
GoAnywhere MFT は、組織がパートナーと安全にファイルを転送し、共有ファイルにアクセスしたユーザーの監査ログを保持できるように設計された、Web ベースのマネージド ファイル転送ツールです。
その開発者は、広く悪用されているCobalt Strike脅威エミュレーション ツールの背後にある組織である Fortra (以前は HelpSystems として知られていた) です。
月曜日、IT セキュリティ コンサルティング会社 Code White のセキュリティ研究者であるFlorian Hauserは、技術的な詳細と、脆弱な GoAnywhere MFT サーバーで認証されていないリモート コード実行を実行する概念実証のエクスプロイト コードを公開しました。
「最初にクライアントを保護するために、同じ日に数時間以内に有効なPoC (ツイートのハッシュと時間を比較する) をチームメイトに提供できました」と Hauser 氏は言います。
Fortra は、「このエクスプロイトの攻撃ベクトルには、アプリケーションの管理コンソールへのアクセスが必要であり、ほとんどの場合、プライベート企業のネットワーク内から、VPN を介して、または許可リストに登録された IP アドレス (クラウドで実行する場合) からのみアクセスできます。 Azure や AWS などの環境)。」
ただし、Shodan のスキャンでは、 1,000 近くの GoAnywhere インスタンスがインターネット上に公開されていることが示されていますが、ポート 8000 と 8001 (脆弱な管理コンソールで使用されているもの) には 140 を少し超えるインスタンスがあります。
軽減可能
同社はまだ、このリモート事前認証 RCE のセキュリティ上の欠陥を公に認めておらず (アドバイザリを読むには、まず無料のアカウントを作成する必要があります)、脆弱性に対処するためのセキュリティ更新プログラムをリリースしていないため、公開されているすべてのインストールが攻撃に対して脆弱なままになっています。 .
ただし、プライベート アドバイザリは、信頼できるソースからのみ GoAnywhere MFT 管理インターフェイスへのアクセスを許可するアクセス制御を実装するか、ライセンス サービスを無効にすることを含む軽減アドバイスを提供します。
ライセンス サーバーを無効にするには、管理者は web.xml ファイル内の License Response Servlet のサーブレットおよびサーブレット マッピング構成をコメント アウトまたは削除して、脆弱なエンドポイントを無効にする必要があります。新しい構成を適用するには、再起動が必要です。
「環境内のデータがアクセスまたはエクスポートされた可能性があるため、環境内の他のシステムの資格情報を保存しているかどうかを判断し、それらの資格情報が取り消されていることを確認する必要があります」と Fortra は土曜日に発行された更新で追加しました。
「これには、GoAnywhere が統合されている外部システムへのアクセスに使用されるパスワードとキーが含まれます。
「これらの外部システムからすべての資格情報が取り消されていることを確認し、それらのシステムに関連する関連するアクセス ログを確認します。これには、システム内のファイルの暗号化に使用されるパスワードとキーも含まれます。」
Fortra はまた、攻撃の疑いまたは証拠がある環境で緩和した後、次の対策を講じることを推奨しています。
- マスター暗号化キーをローテーションします。
- すべての外部取引先/システムの資格情報 (キーおよび/またはパスワード) をリセットします。
- 監査ログを確認し、疑わしい管理者アカウントや Web ユーザー アカウントを削除します
- さらにサポートが必要な場合は、ポータル https://my.goanywhere.com/ からサポートに連絡するか、goanywhere.support@helpsystems.com にメールを送信するか、402-944-4242 に電話してください。
Comments