Вразливість нульового дня GoAnywhere MFT
У четвер, 2 лютого 2023 року, репортер із питань безпеки Брайан Кребс опублікував попередження на Mastodon про активно використовувану вразливість нульового дня, яка впливає на локальні екземпляри керованого рішення для передачі файлів Fortra GoAnywhere MFT. Fortra (раніше HelpSystems) очевидно опублікувала консультацію 1 лютого за автентифікацією; загальнодоступної консультації немає.
Цій вразливості присвоєно CVE-2023-0669.
Згідно з порадою, яку Кребс процитував безпосередньо у своєму дописі Mastodon, уразливість є дефектом віддаленого впровадження коду, для успішного використання якого потрібен доступ до адміністративної консолі. Fortra вказали, що сам інтерфейс веб-клієнта не можна використовувати. Хоча адміністративні консолі та інтерфейси керування в ідеалі ніколи не повинні бути доступні в Інтернеті, дослідник безпеки Кевін Бомонт зазначив у відповіді на публікацію Кребса на Mastodon, що, здається, існує достатня кількість систем (1000+), які відкривають адміністративні порти для публічного Інтернету.
Консультація Fortra, яку цитує Кребс, радить клієнтам GoAnywhere MFT переглядати всіх адміністративних користувачів і стежити за нерозпізнаними іменами користувачів, особливо створеними system. Логічний висновок полягає в тому, що Fortra, ймовірно, спостерігає подальшу поведінку зловмисників, яка включає створення нових адміністраторів або інших користувачів, щоб взяти на себе або зберегти постійність у вразливих цільових системах.
Зауважте, що, хоча про це прямо не згадується у вставленому порадовому тексті Fortra, також можливо, що суб’єкти загрози зможуть отримати адміністративний доступ, націлившись на повторно використані, слабкі облікові дані або облікові дані за замовчуванням.