GoAnywhere MFT Zero-Day-Schwachstelle: Was Sie wissen müssen
Am 1. Februar warnten Forscher bei Fortra die Kunden vor einer Zero-Day-Schwachstelle für Remote-Code-Injektion in ihrer GoAnywhere MFT-Software. Die Zero-Day-Schwachstelle in GoAnywhere MFT legt Administrationskonsolen offen, die direkt mit dem Internet verbunden sind, anstatt die Verbindung über virtuelle private Netzwerke (VPN) oder über IP-basierte Cloud-Dienste wie AWS und Azure zu leiten.
Sie vertrauen darauf, dass Ihre Organisation sicher ist. Aber können Sie das verifizieren?
Was ist GoAnywhere MFT?
GoAnywhere MFT ist eine sichere Lösung für den Dateitransfer und die Datenverschlüsselung, die Organisationen dabei hilft, ihre Dateitransferprozesse zu automatisieren und zu optimieren. Sie ermöglicht es den Benutzern, Dateien sicher zu übertragen, Arbeitsabläufe zu automatisieren und Daten im Ruhezustand oder während der Übertragung zu verschlüsseln.
GoAnywhere MFT unterstützt verschiedene Protokolle wie FTP, SFTP, HTTPS und AS2 und bietet Funktionen wie Dateiauslöser, Auftragsplanung und detaillierte Prüfprotokolle. Es kann On-Premises, in der Cloud oder als hybride Lösung bereitgestellt werden. Es hilft Organisationen, die Datenschutzvorschriften wie DSGVO, HIPAA und PCI DSS einzuhalten.
Übersicht über GoAnywhere MFT Zero-Day
Die Zero-Day-Schwachstelle für die Remote-Code-Ausführung (RCE) (CVE-2023-0669) wurde erstmals vom Sicherheitsreporter Brian Krebs veröffentlicht, der eine Kopie auf Mastodon postete. Die Zero-Day-Schwachstelle in GoAnywhere MFT ermöglicht es einem Angreifer, eine nicht authentifizierte Hintertür im System zu erstellen, die es dem Angreifer ermöglicht, Dateien hochzuladen, zu löschen, zu ändern oder aus dem System zu extrahieren. Zum Zeitpunkt der Veröffentlichung dieses Blogposts war der Schwachstelle noch kein CVSS (Common Vulnerability Scoring System)-Score zugewiesen worden.
Was ist ein Remote-Code-Injection-Fehler?
Ein Fehler bei der Remote-Code-Injektion ist eine Art von Sicherheitsanfälligkeit, die es einem Angreifer ermöglicht, bösartigen Code aus einer entfernten Quelle in eine Anwendung einzuschleusen. Es ist ein attraktiver Angriffsvektor aufgrund seiner niedrigen Einstiegshürde und des Potenzials für großflächigen Schaden. Der bösartige Code kann dann ausgeführt werden, um bösartige Aktivitäten wie Datendiebstahl, Rechteerweiterung oder Systemkompromittierung durchzuführen. Fehler bei der Remote-Code-Injektion resultieren aus Programmierfehlern oder unzureichender Eingabevalidierung beim Schreiben von Anwendungen. Unsichere Programmierpraktiken ermöglichen es bösartigen Akteuren, kontinuierlich neue Wege zu finden, um Anwendungen auszunutzen.
Angreifer, die Fehler bei der Remote-Code-Injektion ausnutzen, verwenden eine Vielzahl von Techniken, wie Fuzzing und Code-Review, um Programmierfehler und unzureichende Eingabevalidierung zu identifizieren und auszunutzen. Fuzzing beinhaltet das Senden großer Mengen zufälliger Daten an Eingaben, um potenzielle Schwachstellen zu ermitteln. Code-Review beinhaltet die Analyse des Quellcodes einer Anwendung auf potenzielle Fehler. Angreifer können auch automatisierte Tools und Scanner verwenden, um Schwachstellen zu identifizieren.
Sicherheitswarnung von Fortra als Antwort auf GoAnywhere MFT Zero-Day
Administrationskonsolen und Management-Schnittstellen sollten idealerweise niemals dem Internet ausgesetzt sein. Als Reaktion auf Krebs’ Beitrag führte der Sicherheitsprofi Kevin Beaumont einen Shodan-Scan durch, um zu ermitteln, wie viele GoAnywhere MFT-Instanzen exponiert waren und fand auf 1.008 Servern – hauptsächlich in den USA. Gleichzeitig, BleepingComputer sah nur 151 exponierte 8000 und 8001 Ports.
Die Warnung von Fortra trägt den Titel „Ein Zero-Day Remote Code Injection Exploit wurde in GoAnywhere MFT identifiziert.“ Die Entwickler bei Fortra schrieben: „Der Angriffsvektor dieses Exploits erfordert Zugriff auf die Administrationskonsole der Anwendung, die in den meisten Fällen nur innerhalb eines privaten Unternehmensnetzwerks, über VPN oder durch auf einer Erlaubnisliste geführte IP-Adressen zugänglich ist (bei Ausführung in Cloud-Umgebungen wie Azure oder AWS).“
Bis ein Patch verfügbar ist, empfiehlt Fortra, dass Kundenadministratoren von GoAnywhere MFT die folgenden Minderungsmaßnahmen anwenden:
- Im Dateisystem, auf dem GoAnywhere MFT installiert ist, bearbeiten Sie die Datei: „[install_dire]/adminroot/WEB_INF/web.xml.“
- Finden und entfernen (löschen oder auskommentieren) Sie die folgende Servlet- und Servlet-Mapping-Konfiguration.
- Starten Sie die GoAnywhere MFT-Anwendung neu.
Abwehr fortgeschrittener persistenter Bedrohungen
Da Bedrohungsakteure zunehmend fortgeschrittene persistente Bedrohungen nutzen, um ihre Angriffe wie den GoAnywhere MFT Zero-Day zu beschleunigen, ihre Spuren zu verschleiern und größeren Zugriff auf die Systeme zu erlangen, in die sie eindringen, müssen GoAnywhere MFT-Kunden alle administrativen Benutzerkonten auf verdächtige Aktivitäten überprüfen. Zu diesen Aktivitäten könnten gehören: 1) nicht erkannte Benutzernamen, 2) die Angaben „Erstellt von“ zeigen „System“, 3) der Zeitpunkt der Kontoerstellung ist verdächtig, und 4) das Admin-Audit-Log zeigt einen nicht existierenden oder deaktivierten Superuser, der ein Konto erstellt. Durch das Erstellen zusätzlicher Admin-Konten können die Angreifer ihre Persistenz bei den Endkunden innerhalb der GoAnywhere MFT-Lieferkette verlängern.
4 Empfehlungen für Kunden, die vom GoAnywhere MFT Zero-Day betroffen sind
Während GoAnywhere MFT-Kunden bewerten, wie sie nach dem GoAnywhere MFT Zero-Day vorgehen sollen, habe ich vier Empfehlungen:
- Patches umgehend anwenden:Sobald Patches für die Zero-Day-Schwachstelle von GoAnywhere MFT verfügbar werden, sollten GoAnywhere MFT-Kunden diese umgehend implementieren.
- Folgen Sie den Anweisungen von Fortra:Im Falle einer Zero-Day-Schwachstelle ist es entscheidend, dass Kunden den Anweisungen des Anbieters folgen. Siehe die obige Diskussion für die auszuführenden Aktionen und tun Sie dies so bald wie möglich.
- Klare Kommunikationskanäle etablieren: Bestimmen Sie alle relevanten Parteien innerhalb Ihres Unternehmens für die Kommunikation mit dem GoAnywhere MFT-Team und stellen Sie sicher, dass sie über ihre Namen, Kontaktdaten und Verantwortlichkeiten informiert sind.
- Halten Sie sich an Best Practices:Befolgen Sie sowohl die Best Practices des Softwareanbieters als auch die Sicherheitsbest Practices Ihrer eigenen Organisation. Im Falle des GoAnywhere MFT Zero-day riet Fortra den Kunden, auf die Administrationskonsole über VPN oder IP-fähigen Cloud Service zuzugreifen und alle administrativen Benutzer zu überprüfen sowie auf unbekannte Benutzernamen zu achten, insbesondere auf solche, die von “System” erstellt wurden.
Erkenntnisse aus der Incident Response und Sicherheitsverstärkung
Gemeinsam mit anderen Führungskräften des Unternehmens war ich an vorderster Front bei der Reaktion auf eine Zero-Day-Schwachstelle in Accellions Legacy File Transfer Appliance (FTA) vor etwa zwei Jahren beteiligt. Wir arbeiteten eng mit Mandiant während der Incident Response zusammen und fanden heraus, dass es entscheidend ist, schnell zu handeln und einen Softwareanbieter zu haben, der wirksame Minderungsmaßnahmen implementiert. Es ist auch wichtig für GoAnywhere MFT-Kunden, die vom GoAnywhere MFT Zero-Day betroffen sind, sich daran zu erinnern, dass sie aufgrund der anhaltenden Natur vieler Cyberangriffe sowohl ihre eigenen Sicherheits-Best Practices als auch die von Fortra empfohlenen befolgen müssen, um zusätzliche Schwachstellen zu verhindern.
Der Vorteil ist, dass wir trotz des FTA-Breaches in der Lage waren, über 90% unserer Kunden durch den Übergang zum Kiteworks Private Content Network (PCN) zu halten. Dies zeigt, wie sorgfältiges und gewissenhaftes Handhaben eines Vorfalls einen Unterschied im Ergebnis für ein Unternehmen machen kann. Heute wird Kiteworks PCN weithin als eine der sichersten Plattformen angesehenmit einer gehärteten virtuellen Appliance und einem Defense-in-Depth-Sicherheitsansatz, wobei das Unternehmen sein stärkstes Wachstumsjahr in FY22 erlebte.Was ist GoAnywhere MFT?
- Kurzbericht Kiteworks MFT (Managed File Transfer)
- Kurzbericht Kiteworks gehärtete virtuelle Appliance bietet mehrere Sicherheitsebenen, um die Anfälligkeit für Exploits und die Schwere von Auswirkungen drastisch zu reduzieren
- Blogbeitrag Log4Shell besiegen: Wie die Kiteworks gehärtete Appliance ihrem Namen gerecht wurde
- Kurzbericht Top 5 Vorteile der Kiteworks MFT-Fähigkeiten gegenüber Axway MFT
- Video Kiteworks Snackable Bytes: Sicheres MFT