{"id":28435,"date":"2024-01-29T18:55:07","date_gmt":"2024-01-29T16:55:07","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28435"},"modified":"2024-01-29T18:55:07","modified_gmt":"2024-01-29T16:55:07","slug":"exploit-authentication-bypass-vulnerability-goanywhere-mft","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/exploit-authentication-bypass-vulnerability-goanywhere-mft\/28435\/","title":{"rendered":"Vulnerabilit\u00e0 critica sfruttata in GoAnywhere MFT"},"content":{"rendered":"

I ricercatori hanno analizzato<\/a> la vulnerabilit\u00e0 CVE-2024-0204 presente nel software FortraGoAnywhere MFT<\/em> (in inglese MFT, Managed Files Transfer<\/em>) e hanno pubblicato un codice exploit che la sfrutta. Vi spieghiamo quali sono i pericoli e cosa dovrebbero fare le aziende che utilizzano questo software.<\/p>\n

Vulnerabilit\u00e0 CVE-2024-0204 in GoAnywhere MFT<\/h2>\n

Prima di tutto, partiamo raccontandovi brevemente la storia di questa vulnerabilit\u00e0 presente in GoAnywhere. In realt\u00e0, Fortra, l\u2019azienda che sviluppa questa soluzione, ha patchato questa vulnerabilit\u00e0 all\u2019inizio di dicembre 2023 con il rilascio di GoAnywhere MFT 7.4.1. Tuttavia, all\u2019epoca, l\u2019azienda decise di non divulgare alcuna informazione sulla vulnerabilit\u00e0, limitandosi a dare consigli privati ai suoi clienti.<\/p>\n

Il funzionamento della vulnerabilit\u00e0 \u00e8 il seguente. Dopo che un utente ha completato la configurazione iniziale di GoAnywhere, un internal logic del prodotto blocca l\u2019accesso alla pagina di configurazione iniziale dell\u2019account. Quando l\u2019utente tenta di accedere a questa pagina, viene reindirizzato al pannello di amministrazione (se \u00e8 autenticato come amministratore) o alla pagina di autenticazione.<\/p>\n

Tuttavia, i ricercatori hanno scoperto che \u00e8 possibile utilizzare un percorso alternativo al file InitialAccountSetup.xhtml, di cui la logica di reindirizzamento non tiene conto. In questo caso, GoAnywhere MFT consente a chiunque di accedere a questa pagina e creare un nuovo account utente con privilegi di amministratore.<\/p>\n

Come prova della fattibilit\u00e0 dell\u2019attacco, i ricercatori hanno scritto e pubblicato un breve script in grado di creare un account amministratore nelle versioni vulnerabili di GoAnywhere MFT. Tutto ci\u00f2 che serve a un cybercriminale \u00e8 specificare il nome di un nuovo account, una password (l\u2019unico requisito \u00e8 che contenga almeno otto caratteri, il che \u00e8 gi\u00e0 di per s\u00e9 interessante) e il seguente percorso:<\/p>\n

\"Parte

Parte del codice di exploit per la vulnerabilit\u00e0 CVE-2024-0204. Quello che \u00e8 stato evidenziato in rosso \u00e8 il percorso alternativo alla pagina di configurazione dell\u2019account iniziale che consente la creazione di utenti con privilegi di amministratore.<\/p><\/div>\n

In generale, questa vulnerabilit\u00e0 ricorda molto quella scoperta in Atlassian Confluence Data Center e Confluence Server di pochi mesi fa; anche in quel caso era possibile creare account amministratore in pochi semplici passaggi.<\/p>\n

Fortra ha assegnato alla vulnerabilit\u00e0 CVE-2024-0204<\/a> lo stato \u201ccritico\u201d, con un punteggio CVSS 3.1 pari a 9,8 su 10.<\/p>\n

A questo punto, per\u00f2, \u00e8 necessario fornire un po\u2019 di contesto. Nel 2023, il gruppo ransomware Clop aveva gi\u00e0 sfruttato le vulnerabilit\u00e0 di Fortra GoAnywhere MFT e di prodotti simili di altri sviluppatori (come Progress MOVEit<\/a>, Accellion FTA e SolarWinds Serv-U) nel tentativo di attaccare centinaia di aziende in tutto il mondo. Tra le organizzazioni e gli enti pubblici che hanno subito lo sfruttamento della vulnerabilit\u00e0 di GoAnywhere MFT figurano Procter & Gamble, Community Health Systems (CHS \u00e8 una delle pi\u00f9 grandi reti ospedaliere degli Stati Uniti) e il comune di Toronto.<\/p>\n

Come difendersi dallo sfruttamento di CVE-2024-0204<\/h2>\n

Il modo pi\u00f9 evidente per proteggersi dallo sfruttamento di questa vulnerabilit\u00e0 \u00e8 aggiornare immediatamente GoAnywhere MFT alla versione 7.4.1 che corregge il criterio di logica e nega l\u2019accesso alla pagina InitialAccountSetup.xhtml.<\/p>\n

Se per qualche motivo non \u00e8 possibile installare l\u2019aggiornamento, \u00e8 possibile provare una di queste due semplici soluzioni:<\/p>\n