Mã khai thác cho một lỗ hổng zero-day [đã bị khai thác trong thực tế] ảnh hưởng đến bảng điều khiển quản trị (admin console) GoAnywhere MFT có kết nối với Internet đã được phát hành.
GoAnywhere MFT là một công cụ truyền tệp dựa trên web, được phát triển bởi Fortra (trước đây gọi là HelpSystems) - tổ chức đứng sau công cụ mô phỏng mối đe dọa Cobalt Strike, giúp truyền tệp một cách an toàn và lưu giữ lịch sử kiểm tra (log) của những người đã truy cập tệp được chia sẻ.
Mới đây, nhà nghiên cứu Florian Hauser của công ty tư vấn bảo mật Code White đã tiết lộ các chi tiết kỹ thuật và mã khai thác chứng minh khả năng thực thi mã từ xa mà không cần xác thực trên các máy chủ MFT GoAnywhere bị ảnh hưởng.
Fortra cho biết rằng "việc khai thác yêu cầu quyền truy cập vào bảng điều khiển quản trị của ứng dụng, trong hầu hết các trường hợp, chỉ có thể truy cập được từ bên trong mạng nội bộ, thông qua VPN hoặc bằng các địa chỉ IP được phép (khi chạy trong môi trường cloud)."
Tuy nhiên, quá trình rà quét của Shodan phát hiện gần 1.000 trường hợp GoAnywhere bị lộ trên Internet, trong đó có hơn 140 máy chủ GoAnywhere chạy trên các cổng (port) 8000 và 8001 (port được sử dụng bởi admin console).
Bản đồ các máy chủ GoAnywhere MFT bị ảnh hưởng (Shodan)
Biện pháp giảm thiểu
Công ty vẫn chưa xác nhận về việc lỗ hổng pre-authentication RCE này bị khai thác trong thực tế, tuy nhiên, tư vấn riêng của công ty đã cung cấp các chỉ báo về sự xâm phạm (IOCs). Bản vá cho lỗ hổng cũng chưa được phát hành, do đó tất cả các máy chủ bị lộ đều có nguy cơ bị tấn công.
Fortra đã đưa ra các biện pháp giảm thiểu bao gồm triển khai kiểm soát truy cập để chỉ cho phép truy cập vào giao diện quản trị MFT của GoAnywhere từ các nguồn đáng tin cậy hoặc vô hiệu hóa dịch vụ cấp phép.
Để vô hiệu hóa máy chủ cấp phép, quản trị viên phải comment hoặc xóa cấu hình servlet và servlet-mapping cho License Response Servlet trong tệp web.xml để vô hiệu hóa endpoint dễ bị tấn công, sau đó khởi động lại để áp dụng cấu hình mới.
Fortra cho biết thêm rằng: "Dữ liệu trong môi trường của bạn có thể đã bị truy cập hoặc trích xuất, bạn nên xác định xem bạn có lưu trữ thông tin đăng nhập cho các hệ thống khác, như mật khẩu/khóa dùng để truy cập bất kỳ hệ thống bên ngoài nào được tích hợp GoAnywhere, và đảm bảo những thông tin đó đã được thu hồi".
Fortra cũng khuyến nghị người dùng nên thực hiện những việc sau sau khi áp dụng biện pháp giảm thiểu trong môi trường có nghi ngờ hoặc dấu hiệu bị tấn công:
- Thay đổi khóa mã hóa chính (Master Encryption Key) của bạn.
- Thay đổi thông tin đăng nhập - khóa và/hoặc mật khẩu - cho tất cả các hệ thống/đối tác thương mại bên ngoài.
- Xem lại nhật ký kiểm tra và xóa mọi tài khoản quản trị viên và/hoặc người dùng web đáng ngờ
- Liên hệ với bộ phận hỗ trợ qua https://my.goanywhere.com, email [email protected] hoặc điện thoại 402-944-4242 để được hỗ trợ thêm.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | OpenSSH 9.2 mới đã được phát hành để giải quyết một số lỗi bảo mật, bao gồm một lỗ hổng memory safety trong máy chủ OpenSSH
Tín nhiệm mạng | Các hệ thống ảo hóa VMware ESXi đang là mục tiêu của một chiến dịch tấn công mới nhằm triển khai phần mềm ransomware trên các hệ thống bị xâm nhập.
Tín nhiệm mạng | Một chiến dịch quảng cáo độc hại lạm dụng Google ads mới được phát hiện đang phát tán các phần mềm độc hại sử dụng công nghệ ảo hóa KoiVM để tránh bị phát hiện khi cài đặt công cụ đánh cắp dữ liệu Formbook.
Tín nhiệm mạng | Một nhà cung cấp mạng cho Google bị xâm phạm khiến dữ liệu cá nhân của các khách hàng Google Fi bị lộ và cho phép tin tặc thực hiện các cuộc tấn công hoán đổi SIM
Tin tặc đang quảng cáo trên các diễn đàn tội phạm mạng một kho chứa 1.894 các web inject dùng để đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm từ các ứng dụng tài chính
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về hai lỗ hổng trong phần mềm nguồn mở ImageMagick có khả năng dẫn đến tấn công từ chối dịch vụ và tiết lộ thông tin.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
