Es wurde eine kritische Sicherheitslücke in der Managed File Transfer (MFT)-Software GoAnywhere von Fortra entdeckt, die missbraucht werden könnte, um einen neuen Administrator-Benutzer zu erstellen. Das Problem mit der Bezeichnung CVE-2024-0204 hat eine CVSS-Score von 9,8 von 10.
In einer am 22. Januar 2024 veröffentlichten Beratung sagte Fortra: „Ein Authentifizierungsbypass in Fortras GoAnywhere MFT vor Version 7.4.1 ermöglicht es einem nicht autorisierten Benutzer, über das Administrationsportal einen Admin-Benutzer zu erstellen.“
Benutzer, die nicht auf Version 7.4.1 aktualisieren können, können vorübergehende Workarounds in nicht-containerbasierten Bereitstellungen anwenden, indem sie die Datei InitialAccountSetup.xhtml im Installationsverzeichnis löschen und die Dienste neu starten. Für containerbasierte Instanzen wird empfohlen, die Datei durch eine leere Datei zu ersetzen und neu zu starten.
Mohammed Eldeeb und Islam Elrfai von Spark Engineering Consultants mit Sitz in Kairo werden dafür gelobt, die Sicherheitslücke im Dezember 2023 entdeckt und gemeldet zu haben. Die Cybersecurity-Firma Horizon3.ai, die einen Proof-of-Concept (PoC)-Exploit für CVE-2024-0204 veröffentlicht hat, sagte, dass das Problem auf einer Schwachstelle in der Pfadtraversierung am Endpunkt „/InitialAccountSetup.xhtml“ beruht, die ausgenutzt werden kann, um Administratoren zu erstellen.
„Der einfachste Kompromittierungsindikator, der analysiert werden kann, ist jedes neue Mitglied der Admin Users-Gruppe im Admin-Benutzerbereich des GoAnywhere-Portals unter Benutzer -> Admin-Benutzer,“ sagte der Sicherheitsforscher Zach Hanley von Horizon3.ai. „Wenn der Angreifer diesen Benutzer hier gelassen hat, können Sie seine letzte Login-Aktivität beobachten, um ein ungefähres Kompromittierungsdatum zu ermitteln.“