Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/exploit-released-for-actively-exploited-goanywhere-mft-zero-day/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #exploit #lançado #para #goanywhere #mft #zeroday #explorado #ativamente
O código de exploração foi lançado para uma vulnerabilidade de dia zero explorada ativamente que afeta consoles de administrador GoAnywhere MFT expostos à Internet.
O GoAnywhere MFT é uma ferramenta de transferência de arquivos gerenciada e baseada na Web projetada para ajudar as organizações a transferir arquivos com segurança com parceiros e manter registros de auditoria de quem acessou os arquivos compartilhados.
Seu desenvolvedor é o Fortra (anteriormente conhecido como HelpSystems), o equipamento por trás da ferramenta de emulação de ameaças Cobalt Strike, amplamente utilizada.
Na segunda-feira, o pesquisador de segurança Florian Hauser da empresa de consultoria de segurança de TI Code White divulgou detalhes técnicos e código de exploração de prova de conceito que executa a execução remota de código não autenticado em servidores GoAnywhere MFT vulneráveis.
"Eu poderia fornecer um PoC funcional (compare o hash e a hora do meu tweet) para meus colegas de equipe em algumas horas no mesmo dia para proteger nossos clientes primeiro", disse Hauser.
Fortra diz que "o vetor de ataque dessa exploração requer acesso ao console administrativo do aplicativo, que na maioria dos casos é acessível apenas de dentro de uma rede privada da empresa, por meio de VPN ou por endereços IP permitidos (ao executar na nuvem ambientes, como Azure ou AWS)."
No entanto, uma varredura Shodan mostra que quase 1.000 instâncias do GoAnywhere estão expostas na Internet, embora pouco mais de 140 estejam nas portas 8000 e 8001 (as usadas pelo console de administração vulnerável).
Mapa de servidores GoAnywhere MFT vulneráveis (Shodan)
Mitigação disponível
A empresa ainda não reconheceu publicamente esta falha de segurança RCE de pré-autenticação remota explorada em ataques (para ler o comunicado, você precisa primeiro criar uma conta gratuita) e não lançou atualizações de segurança para resolver a vulnerabilidade, deixando assim todas as instalações expostas vulnerável a ataques.
No entanto, o comunicado privado fornece indicadores de comprometimento, incluindo um stacktrace específico que aparece nos registros dos sistemas comprometidos.
“Se esse stacktrace estiver nos logs, é muito provável que esse sistema tenha sido alvo de ataque”, diz Fortra.
Ele também contém conselhos de mitigação que incluem a implementação de controles de acesso para permitir o acesso à interface administrativa do GoAnywhere MFT somente de fontes confiáveis ou a desativação do serviço de licenciamento.
Para desabilitar o servidor de licenciamento, os administradores precisam comentar ou excluir a configuração de mapeamento de servlet e servlet para o License Response Servlet no arquivo web.xml para desabilitar o terminal vulnerável. Uma reinicialização é necessária para aplicar a nova configuração.
Código para remover/comentar para desabilitar o serviço de licenciamento do GoAnywhere MFT
“Devido ao fato de que os dados em seu ambiente podem ter sido acessados ou exportados, você deve determinar se armazenou credenciais para outros sistemas no ambiente e certificar-se de que essas credenciais foram revogadas”, acrescentou Fortra em uma atualização divulgada no sábado.
"Isso inclui senhas e chaves usadas para acessar quaisquer sistemas externos com os quais o GoAnywhere esteja integrado.
"Certifique-se de que todas as credenciais foram revogadas desses sistemas externos e revise os registros de acesso relevantes relacionados a esses sistemas. Isso também inclui senhas e chaves usadas para criptografar arquivos dentro do sistema."
A Fortra também recomenda tomar as seguintes medidas após a mitigação em ambientes com suspeita ou evidência de ataque:
Gire sua Chave Mestra de Criptografia.
Redefina as credenciais - chaves e/ou senhas - para todos os sistemas/parceiros comerciais externos.
Revise os logs de auditoria e exclua qualquer administrador suspeito e/ou contas de usuário da web
Entre em contato com o suporte pelo portal https://my.goanywhere.com/, e-mail goanywhere.support@helpsystems.com ou telefone 402-944-4242 para obter mais assistência.
Postar um comentário