روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ محققین آسیبپذیری CVE-2024-0204 را در نرمافزار Fortra GoAnywhere MFT (امافتی مخفف انتقال فایل مدیریتشده[1] است) تحلیل و کد اکسپلویت را منتشر کردهاند. در ادامه قرار است خطرات این اکسپلویت را توضیح داده، بررسی کنیم سازمانهایی که از این نرمافزار استفاده میکنند باید در این راستا چه اقداماتی انجام دهند. با ما همراه باشید.
آسیبپذیری CVE-2024-0204 در GoAnywhere MFT
بگذارید به طور خلاصه توضیحی در مورد این آسیبپذیری در GoAnywhere بدهیم. در حقیقت Fortra شرکتی که این راهکار را توسعه داده است، آسیبپذیری مذکور را اوایل دسامبر 2023 با انتشار GoAnywhere MFT 7.4.1. پچ کرد. با این حال آن زمان این شرکت ترجیح داد در مورد آسیبپذیری اطلاعاتی به بیرون درز نکند و خود را فقط به ارسال توصیههای خصوصی به کلاینتها محدود کرد. اما ماهیت آسیبپذیری به شرح زیر است:
بعد از اینکه کاربر راهاندازی اولیه GoAnywhere را تکمیل میکند، منطق داخلی محصول دسترسی به صفحه اولیه راهاندازی اکانت را بلاک میکند. سپس وقتی تلاش دارند به این صفحه دسترسی پیدا کنند یا به پنل ادمین هدایت میشوند (اگر بعنوان ادمین احراز شوند) و یا به صفحه احراز هویت. با این وجود محققین پی بردند مسیر جایگزین هم وجود دارد: فایل InitialAccountSetup.xhtml که منطق ریدایرکت آن را حساب نکرده بوده است. در این سناریو GoAnywhere MFT به هر کسی اجازه میدهد تا با مزیتهای ادمین به این صفحه دسترسی پیدا کنند و اکانت جدید کاربری بسازند. به عنوان اثبات امکان این حمله محققین اسکریپت کوتاهی نوشته و منتشر کردند که میتواند در نسخههای آسیبپذیر GoAnywhere MFT اکانتهای ادمین درست کند. تمام آنچه مهاجم نیاز دارد مشخص کردن نام جدید اکانت است و پسورد (فقط باید دست کم هشت کاراکتر داشته باشد که این هم برای خود جالب است!).
یه طور کلی، این آسیبپذیری بسیار شبیه به آن چیزی است که چند ماه پیش در Atlassian Confluence Data Center و Confluence Server کشف شد. در آنجا نیز امکان ایجاد حسابهای مدیریتی در چند مرحله ساده وجود داشت.
Fortra به آسیبپذیری CVE-2024-0204 وضعیت «بحرانی» را با امتیاز CVSS 3.1 9.8 از 10 اختصاص داد. اینجا اما کمی زمینهچینی نیاز است: در سال 2023 گروه باجافزاری Clop آسیبپذیریهای Fortra GoAnywhere MFT و همچنین چد محصول مشابه از سایر توسعهدهندگان را اکسپلویت کردند - Progress MOVEit، Accellion FTA و SolarWinds Serv-U- تا به صدها سازمان در سراسر جهان حمله کنند. مشخصاً شرکتهایی نظیر Procter & Gamble، Community Health Systems و شهرداری تورنتو از این اکسپلویت آسیبپذیری GoAnywhere MFT ضربه خوردند.
راه مقابله با اکسپلویت CVE-2024-0204
واضحترین راه در برابر اکسپلویت آسیبپذیری مربوطه، آپدیت کردن فوری نسخه 7.4.1 GoAnywhere MFT است که منطق رد دسترسی به صفحه InitialAccountSetup.xhtml را رفع میکند. اگر نمیتوانید به هر دلیلی آپدیت را نصب کنید میشود یکی از این دو روشهای ساده را امتحان کنید:
- فایل InitialAccountSetup.xhtml را در فولدر نصب حذف و سرویس را مجدداً راه اندازی کنید.
یا
- InitialAccountSetup.xhtml را با یک فایل خالی جایگزین و سرویس را مجدداً راهاندازی کنید.
همچنین باید از راهکار EDR (Endpoint Detection and Response) برای نظارت فعالیت مشکوک در شبکه سازمان استفاده کنید. اگر تیم امنیت سایبری داخلی شما مهارت یا منابع کافی را برای انجام این کار ندارد میتوانید از سرویس خارجی برای پیوسته شکار کردن تهدیدهای سازمان خود و نیز واکنش سریع به رخدادها استفاده کنید.
[1] managed file transfer
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
