Une faille de sécurité critique a été révélée dans le logiciel GoAnywhere Managed File Transfer (MFT) de Fortra qui pourrait être utilisée de manière abusive pour créer un nouvel utilisateur administrateur.
Suivi comme CVE-2024-0204le problème obtient un score CVSS de 9,8 sur 10.
“Le contournement de l’authentification dans GoAnywhere MFT de Fortra antérieur à 7.4.1 permet à un utilisateur non autorisé de créer un utilisateur administrateur via le portail d’administration”, Fortra dit dans un avis publié le 22 janvier 2024.
Les utilisateurs qui ne peuvent pas effectuer la mise à niveau vers la version 7.4.1 peuvent appliquer des solutions de contournement temporaires dans les déploiements sans conteneur en supprimant le fichier InitialAccountSetup.xhtml dans le répertoire d’installation et en redémarrant les services.
Pour les instances déployées par conteneur, il est recommandé de remplacer le fichier par un fichier vide et de redémarrer.
Mohammed Eldeeb et Islam Elrfai de Spark Engineering Consultants, basés au Caire, ont été reconnus pour avoir découvert et signalé la faille en décembre 2023.
La société de cybersécurité Horizon3.ai, qui a publié un exploit de preuve de concept (PoC) pour CVE-2024-0204, a déclaré que le problème était le résultat d’une faiblesse de traversée de chemin dans le point de terminaison “/InitialAccountSetup.xhtml” qui pourrait être exploitée pour créer des utilisateurs administratifs.
“L’indicateur de compromission le plus simple qui peut être analysé concerne tout nouvel ajout au groupe Utilisateurs administrateurs dans la section Utilisateurs -> Utilisateurs administrateurs du portail d’administration GoAnywhere”, Zach Hanley, chercheur en sécurité chez Horizon3.ai. dit.
“Si l’attaquant a laissé cet utilisateur ici, vous pourrez peut-être observer sa dernière activité de connexion ici pour évaluer une date approximative de compromission.”
Bien qu’il n’y ait aucune preuve d’exploitation active de CVE-2024-0204 dans la nature, une autre faille dans le même produit (CVE-2023-0669, score CVSS : 7,2) a été exploitée par le groupe de ransomware Cl0p pour pirater près de 130 victimes l’année dernière. .