Un investigador de seguridad acaba de publicar un código de prueba de concepto para GoAnywhere MFT que puede llevar a cualquier persona a acceder a un sistema GoAnywhere vulnerable sin ninguna autenticación.
Dado que un análisis web reveló que más de 1000 MFT de GoAnywhere estaban expuestos en línea, los investigadores advierten a los administradores de sistemas que apliquen las medidas de mitigación disponibles lo antes posible para evitar ataques. El OEM de GoAnywhere aún no ha reconocido ni publicado un parche para esto.
Aprovechar la MFT de GoAnywhere
GoAnywhere MFT es una herramienta de transferencia de archivos administrada basada en la Web que permite a las organizaciones compartir archivos de forma segura con sus socios y realizar un seguimiento de los registros de auditoría de quién ha accedido a los archivos compartidos. Como se trata de una herramienta importante para las empresas serias en sus negocios habituales, cualquier vulnerabilidad detectada en ella debe abordarse de inmediato.
Sin embargo, el fabricante Fortra aún no ha reconocido un error en GoAnywhere MFT que podría permitir que cualquier persona no autenticada acceda al sistema de forma remota y lo explote. Fortra también es el desarrollador de una herramienta ampliamente explotada llamada Cobalt Strike en varios incidentes de piratería.
Los lunes, Un investigador de seguridad llamado Florian Hauser de Code White publicó un código de prueba de concepto ¡Para explotar MFTs de GoAnywhere, de forma remota! Aunque los OEM dicen que el vector inicial necesita acceso a la consola administrativa de la aplicación, hay muchos de ellos expuestos al público sin muchas restricciones.
Bien hecho @frycos¡Qué RCE pre-autorización tan dulce! https://t.co/JRE9DcXOGb imagen.twitter.com/cJlvEmL2Km
— ϻг_ϻε (@[email protected]) (@steventseeley) 4 de febrero de 2023
Un escaneo de Shodan muestra que ¡Hay alrededor de 1.000 instancias de GoAnywhere expuestas en Internet, y más de 140 tienen puertos 8000 y 8001 abiertos a cualquiera! Estos se consideran los puntos de acceso a la consola de administración vulnerable.
El fabricante (Fortra) aún no ha reconocido este problema, por lo que no hay ninguna actualización de parche disponible por ahora para solucionarlo. Pero compartió un asesor privado (se necesita iniciar sesión para ver) que detallan los indicadores de compromiso – donde pide a los usuarios que busquen un seguimiento de pila específico que aparece en los registros de los sistemas comprometidos.
Si encuentra algo similar, considere que su sistema ha sido violado y comuníquese con el equipo de GoAnywhere de inmediato. Si no es así, Se recomienda encarecidamente seguir los consejos de mitigación de la empresa de limitar el acceso solo a aquellos que realmente lo necesitan o deshabilitar el servicio de licencias.
En este último caso, los administradores del sistema deben desactivar el punto final vulnerable. Una vez hecho esto, reinicie el dispositivo para aplicar estos cambios.
Y una vez que haya tomado medidas de mitigación, Fortra también recomienda hacer las siguientes cosas para mantenerse más seguro y evitar otros ataques relacionados que surjan de este incidente;
- Gire su clave de cifrado maestra.
- Restablecer credenciales (claves y/o contraseñas) para todos los sistemas/socios comerciales externos.
- Revise los registros de auditoría y elimine cualquier cuenta de administrador y/o usuario web sospechosa.
- Comuníquese con el soporte de GoAnywhere a través de su portal para obtener más ayuda.