Fortra, şu anda yamalanmış kritik bir güvenlik kusurunun ayrıntılarını yayınladı. Dosya Katalizörü Kimliği doğrulanmamış saldırganların duyarlı sunucularda uzaktan kod yürütmesine olanak tanıyan dosya aktarım çözümü.
CVE-2024-25153 olarak takip edilen eksiklik, maksimum 10 üzerinden 9,8 CVSS puanı taşıyor.
Şirket, “FileCatalyst İş Akışı Web Portalının ‘ftpservlet’i içindeki bir dizin geçişi, dosyaların özel hazırlanmış bir POST isteği ile amaçlanan ‘uploadtemp’ dizininin dışına yüklenmesine olanak tanıyor.” söz konusu geçen hafta bir tavsiye niteliğinde.
“Bir dosyanın web portalının DocumentRoot’una başarıyla yüklendiği durumlarda, web kabukları da dahil olmak üzere kodu yürütmek için özel hazırlanmış JSP dosyaları kullanılabilir.”
Şirket, güvenlik açığının ilk olarak 9 Ağustos 2023’te bildirildiğini ve iki gün sonra FileCatalyst Workflow sürüm 5.1.6 Build 114’te CVE tanımlayıcısı olmadan giderildiğini söyledi. Fortra şuydu: yetkili Aralık 2023’ün başlarında CVE Numaralandırma Otoritesi (CNA) olarak.
LRQA Nettitude’dan güvenlik araştırmacısı Tom Wedgbury, kusuru keşfetme ve bildirme konusunda itibar kazandı. Şirket o zamandan beri piyasaya sürülmüş Kusurun bir web kabuğu yüklemek ve rastgele sistem komutlarını yürütmek için nasıl silah haline getirilebileceğini açıklayan tam bir kavram kanıtı (PoC) istismarı.
Ayrıca Ocak 2024’te Fortra tarafından FileCatalyst Direct’teki diğer iki güvenlik açığı da çözüldü (CVE-2024-25154 ve CVE-2024-25155) bilgi sızıntısına ve kod yürütülmesine yol açabilir.
Fortra GoAnywhere yönetilen dosya aktarımında (MFT) daha önce açıklanan kusurların geçen yıl Cl0p gibi tehdit aktörleri tarafından yoğun şekilde istismar edilmesi nedeniyle, kullanıcıların potansiyel tehditleri azaltmak için gerekli güncellemeleri uygulamaları önerilir.