Kritikus hiba miatt bárki admin lehet a GoAnywhere MFT-ben

Kritikus biztonsági hiba került nyilvánosságra a Fortra GoAnywhere Managed File Transfer (MFT) szoftverében, amellyel visszaélve új rendszergazdai felhasználó hozható létre.

A CVE-2024-0204 néven nyomon követhető hiba CVSS pontszáma 9,8.

“A Fortra GoAnywhere MFT 7.4.1 előtti verziójában a hitelesítés megkerülése lehetővé teszi, hogy egy illetéktelen felhasználó adminisztrátori felhasználót hozzon létre az adminisztrációs portálon keresztül” – közölte a Fortra a január 22-én kiadott közleményében.

Azoknak a felhasználóknak, akik nem tudnak frissíteni a 7.4.1-es verzióra, ideiglenes megoldásként a telepítési könyvtárban található InitialAccountSetup.xhtml fájl törlését és a szolgáltatások újraindítását javasolják.

A Horizon3.ai kiberbiztonsági cég, amely egy közzé tett egy PoC exploitot, azt mondta, hogy a probléma az “/InitialAccountSetup.xhtml” végpontban található path traversal gyengeség eredménye, amelyet adminisztratív felhasználók létrehozására lehet kihasználni.

“A kompromittáltságot mi sem mutatja meg jobban, mint a GoAnywhere adminisztrátori portál Users -> Admin Users szekciójában az Admin Users csoportban lévő új felhasználók” – mondta Zach Hanley, a Horizon3.ai biztonsági kutatója.

Bár nincs bizonyíték a hiba aktív kihasználására, ugyanezen termék egy másik hibájával (CVE-2023-0669, CVSS pontszám: 7,2) a Cl0p zsarolóvírus csoport tavaly közel 130 áldozatot szedett.

(thehackernews.com)