🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý dự án đầu tư xây dựng công trình dân dụng và công nghiệp tỉnh Tiền Giang đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Mã khai thác cho GoAnywhere MFT zero-day đã được phát hành

09/02/2023

Mã khai thác cho một lỗ hổng zero-day [đã bị khai thác trong thực tế] ảnh hưởng đến bảng điều khiển quản trị (admin console) GoAnywhere MFT có kết nối với Internet đã được phát hành.

GoAnywhere MFT là một công cụ truyền tệp dựa trên web, được phát triển bởi Fortra (trước đây gọi là HelpSystems) - tổ chức đứng sau công cụ mô phỏng mối đe dọa Cobalt Strike, giúp truyền tệp một cách an toàn và lưu giữ lịch sử kiểm tra (log) của những người đã truy cập tệp được chia sẻ.

Mới đây, nhà nghiên cứu Florian Hauser của công ty tư vấn bảo mật Code White đã tiết lộ các chi tiết kỹ thuật và mã khai thác chứng minh khả năng thực thi mã từ xa mà không cần xác thực trên các máy chủ MFT GoAnywhere bị ảnh hưởng.

Fortra cho biết rằng "việc khai thác yêu cầu quyền truy cập vào bảng điều khiển quản trị của ứng dụng, trong hầu hết các trường hợp, chỉ có thể truy cập được từ bên trong mạng nội bộ, thông qua VPN hoặc bằng các địa chỉ IP được phép (khi chạy trong môi trường cloud)."

Tuy nhiên, quá trình rà quét của Shodan phát hiện gần 1.000 trường hợp GoAnywhere bị lộ trên Internet, trong đó có hơn 140 máy chủ GoAnywhere chạy trên các cổng (port) 8000 và 8001 (port được sử dụng bởi admin console).

Bản đồ các máy chủ GoAnywhere MFT bị ảnh hưởng (Shodan)

Biện pháp giảm thiểu

Công ty vẫn chưa xác nhận về việc lỗ hổng pre-authentication RCE này bị khai thác trong thực tế, tuy nhiên, tư vấn riêng của công ty đã cung cấp các chỉ báo về sự xâm phạm (IOCs). Bản vá cho lỗ hổng cũng chưa được phát hành, do đó tất cả các máy chủ bị lộ đều có nguy cơ bị tấn công.

Fortra đã đưa ra các biện pháp giảm thiểu bao gồm triển khai kiểm soát truy cập để chỉ cho phép truy cập vào giao diện quản trị MFT của GoAnywhere từ các nguồn đáng tin cậy hoặc vô hiệu hóa dịch vụ cấp phép.

Để vô hiệu hóa máy chủ cấp phép, quản trị viên phải comment hoặc xóa cấu hình servlet và servlet-mapping cho License Response Servlet trong tệp web.xml để vô hiệu hóa endpoint dễ bị tấn công, sau đó khởi động lại để áp dụng cấu hình mới.

Fortra cho biết thêm rằng: "Dữ liệu trong môi trường của bạn có thể đã bị truy cập hoặc trích xuất, bạn nên xác định xem bạn có lưu trữ thông tin đăng nhập cho các hệ thống khác, như mật khẩu/khóa dùng để truy cập bất kỳ hệ thống bên ngoài nào được tích hợp GoAnywhere, và đảm bảo những thông tin đó đã được thu hồi".

Fortra cũng khuyến nghị người dùng nên thực hiện những việc sau sau khi áp dụng biện pháp giảm thiểu trong môi trường có nghi ngờ hoặc dấu hiệu bị tấn công:

- Thay đổi khóa mã hóa chính (Master Encryption Key) của bạn.

- Thay đổi thông tin đăng nhập - khóa và/hoặc mật khẩu - cho tất cả các hệ thống/đối tác thương mại bên ngoài.

- Xem lại nhật ký kiểm tra và xóa mọi tài khoản quản trị viên và/hoặc người dùng web đáng ngờ

- Liên hệ với bộ phận hỗ trợ qua https://my.goanywhere.com, email [email protected] hoặc điện thoại 402-944-4242 để được hỗ trợ thêm.

Nguồn: bleepingcomputer.com.

scrolltop