روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین آسیب‌پذیری  CVE-2024-0204 را در نرم‌افزار Fortra GoAnywhere MFT (ام‌اف‌تی مخفف انتقال فایل مدیریت‌شده[1] است) تحلیل و کد اکسپلویت را منتشر کرده‌اند. در ادامه قرار است خطرات این اکسپلویت را توضیح داده، بررسی کنیم سازمان‌هایی که از این نرم‌افزار استفاده می‌کنند باید در این راستا چه اقداماتی انجام دهند. با ما همراه باشید.

آسیب‌پذیری CVE-2024-0204 در GoAnywhere MFT

بگذارید به طور خلاصه توضیحی در مورد این آسیب‌پذیری در GoAnywhere بدهیم. در حقیقت Fortra شرکتی که این راهکار را توسعه داده است، آسیب‌پذیری مذکور را اوایل دسامبر 2023 با انتشار GoAnywhere MFT 7.4.1. پچ کرد. با این حال آن زمان این شرکت ترجیح داد در مورد آسیب‌پذیری اطلاعاتی به بیرون درز نکند و خود را فقط به ارسال توصیه‌های خصوصی به کلاینت‌ها محدود کرد. اما ماهیت آسیب‌پذیری به شرح زیر است:

بعد از اینکه کاربر راه‌اندازی اولیه GoAnywhere را تکمیل می‌کند، منطق داخلی محصول دسترسی به صفحه اولیه راه‌اندازی اکانت را بلاک می‌کند. سپس وقتی تلاش دارند به این صفحه دسترسی پیدا کنند یا به پنل ادمین هدایت می‌شوند (اگر بعنوان ادمین احراز شوند) و یا به صفحه احراز هویت. با این وجود محققین پی بردند مسیر جایگزین هم وجود دارد: فایل InitialAccountSetup.xhtml که منطق ریدایرکت آن را حساب نکرده بوده است. در این سناریو GoAnywhere MFT به هر کسی اجازه می‌دهد تا با مزیت‌های ادمین به این صفحه دسترسی پیدا کنند و اکانت جدید کاربری بسازند. به عنوان اثبات امکان این حمله محققین اسکریپت کوتاهی نوشته و منتشر کردند که می‌تواند در نسخه‌های آسیب‌پذیر GoAnywhere MFT اکانت‌های ادمین درست کند. تمام آنچه مهاجم نیاز دارد مشخص کردن نام جدید اکانت است و پسورد (فقط باید دست کم هشت کاراکتر داشته باشد که این هم برای خود جالب است!).

یه طور کلی، این آسیب‌پذیری بسیار شبیه به آن چیزی است که چند ماه پیش در Atlassian Confluence Data Center و Confluence Server کشف شد. در آنجا نیز امکان ایجاد حساب‌های مدیریتی در چند مرحله ساده وجود داشت.

Fortra به آسیب‌پذیری CVE-2024-0204 وضعیت «بحرانی» را با امتیاز CVSS 3.1 9.8 از 10 اختصاص داد. اینجا اما کمی زمینه‌چینی نیاز است: در سال 2023 گروه باج‌‌افزاری Clop آسیب‌پذیری‌های Fortra GoAnywhere MFT و همچنین چد محصول مشابه از سایر توسعه‌دهندگان را اکسپلویت کردند - Progress MOVEit، Accellion FTA و SolarWinds Serv-U- تا به صدها سازمان در سراسر جهان حمله کنند. مشخصاً شرکت‌هایی نظیر Procter & Gamble، Community Health Systems و شهرداری تورنتو از این اکسپلویت آسیب‌پذیری GoAnywhere MFT ضربه خوردند.

راه مقابله با اکسپلویت CVE-2024-0204

واضح‌ترین راه در برابر اکسپلویت آسیب‌پذیری مربوطه، آپدیت کردن فوری نسخه 7.4.1 GoAnywhere MFT  است که منطق رد دسترسی به صفحه  InitialAccountSetup.xhtml را رفع می‌کند. اگر نمی‌توانید به هر دلیلی آپدیت را نصب کنید می‌شود یکی از این دو روش‌های ساده را امتحان کنید:

•         فایل InitialAccountSetup.xhtml را در فولدر نصب حذف و سرویس را مجدداً راه اندازی کنید.

یا

•         InitialAccountSetup.xhtml را با یک فایل خالی جایگزین و سرویس را مجدداً راه‌اندازی کنید.

 همچنین باید از راهکار EDR (Endpoint Detection and Response) برای نظارت فعالیت مشکوک در شبکه سازمان استفاده کنید. اگر تیم امنیت سایبری داخلی شما مهارت یا منابع کافی را برای انجام این کار ندارد می‌توانید از سرویس خارجی برای پیوسته شکار کردن تهدیدهای سازمان خود و نیز واکنش سریع به رخدادها استفاده کنید.

[1] managed file transfer

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.