Fortra’nın GoAnywhere MFT tarafından yönetilen dosya aktarım uygulamasını etkileyen bir sıfırıncı gün güvenlik açığından aktif olarak yararlanılıyor.
Hatanın detayları ilk sıradaydı herkese açık olarak paylaşıldı Mastodon’da güvenlik muhabiri Brian Krebs tarafından. Fortra tarafından herhangi bir kamu danışmanlığı yayımlanmamıştır.
Güvenlik açığı, uygulamanın yönetim konsoluna erişim gerektiren ve sistemlerin halka açık internete maruz kalmamasını zorunlu kılan bir uzaktan kod enjeksiyonu durumudur.
Güvenlik araştırmacısı Kevin Beaumont’a göre, internet üzerinden genel erişime açık 1.000’den fazla şirket içi örnek var ve bunların çoğu ABD’de bulunuyor.
Rapid7 araştırmacısı Caitlin Condon, “Alıntılanan Fortra danışma belgesi Krebs, GoAnywhere MFT müşterilerine tüm yönetici kullanıcıları incelemelerini ve tanınmayan kullanıcı adlarını, özellikle sistem tarafından oluşturulanları izlemelerini tavsiye ediyor.” söz konusu.
“Mantıksal çıkarım, Fortra’nın muhtemelen savunmasız hedef sistemleri devralmak veya bu sistemlerde kalıcılığı sürdürmek için yeni yönetici veya diğer kullanıcıların oluşturulmasını içeren takip eden saldırgan davranışı görmesidir.”
Alternatif olarak, siber güvenlik şirketi, tehdit aktörlerinin konsola yönetici erişimi elde etmek için yeniden kullanılan, zayıf veya varsayılan kimlik bilgilerini kullanmasının mümkün olduğunu söyledi.
Fortra, “License Response Servlet” yapılandırmasını web.xml dosyasından kaldırmak için geçici çözümler yayımlamış olsa da, şu anda sıfır gün güvenlik açığı için herhangi bir yama mevcut değildir.
Dosya aktarım çözümlerindeki güvenlik açıkları, Accellion ve DosyaZen veri hırsızlığı ve şantaj için silahlandırılmıştır.
