Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
„Klienci GoAnywhere padają jak muchy”. Krytyczna, aktywnie exploitowana podatność w GoAnywhere MFT.
Tytułowy GoAnywhere MFT reklamowany jest tak:
Safeguard file transfers and meet all your IT security and compliance requirements using modern encryption technology and authentication methods. GoAnywhere provides enterprise-level security features to protect your files from internal and external risks and helps organizations and professionals alike comply with regulations, standards, and technologies. (…) We are committed to helping you comply with key regulations including HIPAA, PCI DSS, GDPR, and more.
Tymczasem Arstechnica donosi o exploicie, który atakuje powyższe rozwiązanie – co więcej nie wymaga on posiadania żadnych danych logowania do systemu (unauth RCE).
Jeden z klientów GoAnywhere pisze tak:
In February of this year, one of our vendors, Fortra, the developers of the GoAnywhere Managed File Transfer, advised of a zero-day remote code execution vulnerability. It has been reported that this vulnerability is being actively exploited across more than 100 organizations globally. (…) We detected unauthorized access to a limited amount of information in one of our non-production IT testing environments as a result of the GoAnywhere vulnerability.
Podatność dotyczy panelu administracyjnego rozwiązania, który jeśli jeśli jest wystawiony do Internetu – może być skutecznie zaatakowany (chyba że ktoś zdążył już zaaplikować łatkę).
Nie jest jakoś specjalnie trudno namierzyć exploita w sieci, a daje on uprawnienia root na serwerze, który jest atakowany.
Wnioski:
- Jeśli jakiś produkt wręcz epatuje certyfikatami bezpieczeństwa czy zgodnościami z tuzinem norm branżowych… należy podejść do tego lekko podejrzliwie.
- W miarę możliwości nie wystawiajcie paneli administracyjnych tego typu rozwiązań do Internetu (można ten dostęp ograniczyć tylko do pewnej puli adresów IP)
- Łatajcie się.
~ms
Nie wiem dlaczego ale czytając pierwszą rade od razu pomyślałem o Bitwardenie…
Luka bolesna w skutkach, ale:
1. Nie powinno się wystawiać publicznie panelu administracyjnego do żadnego narzędzia (chyba, że jest to niezbędne, ale i wtedy należy odpowiednio ograniczyć dostęp, choćby zwykłą ACL-ką). Za coś takiego admin powinien dostać „po łapach”.
2. Producent po wykryciu podatności natychmiast poinformował swoich użytkowników o tym fakcie, wypuszczając jednocześnie odpowiedni patch.
3. Luka została użyta (przynajmniej tak wynika z dotychczasowych informacji) głównie przez jedną grupę – Clop ransomware gang. Niestety, grupa ta dosyć skutecznie ową podatność wykorzystała w przeprowadzeniu wielu spektakularnych ataków (m.in. Rubrik, czy Hitachi Energy). I jak wynika z danych historycznych, w wyszukiwaniu i wykorzystywaniu tego typu podatności mają spore doświadczenie. Na szczęście nie wszystkie firmy padły ofiarą w środowisku produkcyjnym, w niektórych przypadkach były to środowiska testowe.
Reasumując, wpadka może przydarzyć się każdemu, nawet największym graczom na rynku IT -> vide Microsoft i ostatni „vuln” związany z Outlookiem, który był aktywnie wykorzystywany od roku. ;)
Istotne jest, w jaki sposób podmiot odpowiedzialny za dany produkt / narzędzie / program zareaguje – a w tym przypadku Fortra wykazała się bardzo szybką i odpowiedzialną reakcją.