GoAnywhere MFT的嚴重安全漏洞

如果正在使用Fortra GoAnywhere MFT(managed file transfer)的話,便應該盡快更新以堵塞安全漏洞(CVE-2024-0204)!因為該嚴重的安全漏洞容許攻擊者繞過驗證,創建管理帳號,以下將解釋涉及的危險以及機構用戶應做的事。

GoAnywhere MFT的安全漏洞CVE-2024-0204

其實GoAnywhere的開發公司Fortra早在2023年12月已經推出GoAnywhere MFG 7.4.1,堵塞相關安全漏洞,然而當時公司選擇不披露任何安全漏洞的資料料,只限於向客戶發送私人建。而安全漏洞的情況是當用戶完成GoAnywhere的初始設定後,產品的內部邏輯便會封鎖存取初始帳號設定網頁,隨後每當嘗試存取該網頁,便會被重新導引到管理平台(如果通過驗證為管理員)或驗證網頁。

不過,有研究人員發現有其他方法前往InitialAccountSetup.xhtml檔案,而重新導引的邏輯並沒有採取行動,在這種情況下GoAnywhere MFT便容許任何存取該網頁的人,創建一個擁有管理員權限的新用戶帳號。研究人員更編寫並發佈了一條短腳本,在漏洞版GoAnywhere MFT上創建管理員帳號,攻擊者只需要想好新帳號名稱、密碼和路徑。有關的安全漏洞CVE-2024-0204被定為「嚴重」級別,CVSS 3.1的評分為9.8/10。

防範CVE-2024-0204

最直接防範CVE-2024-0204的方法當然是立即更新GoAnywhere MFT到7.4.1版本,修復沒有正常拒絕存取InitialAccountSetup.xhtml網頁的邏輯,如果因為某些原因而無法安裝更新,也可以嘗試兩個簡單的解決方法:

  • 在安裝資料夾內刪除InitialAccountSetup.xhtml檔案,然後重啟服務。
  • 又或者以空白的檔案取代原有的InitialAccountSetup.xhtml,然後重啟服務。

機構也可以透過Endpoint Detection and Response(EDR)方案去監察可疑的公司網絡活動,缺乏內部人才更可以考慮借助外部服務去提升公司的威脅偵測及快速回應。

資料來源:Kaspersky Blog