Vulnerabilidad Zero-day en GoAnywhere MFT: Lo que Necesitas Saber
El 1 de febrero, los investigadores de Fortra advirtieron a los clientes sobre una vulnerabilidad de inyección de código remoto de día cero en su software GoAnywhere MFT. La vulnerabilidad de día cero de GoAnywhere MFT expone consolas de administrador que se conectan directamente a internet en lugar de enrutar a través de redes privadas virtuales (VPN) o a través de servicios en la nube basados en IP como AWS y Azure.
You Trust Your Organization is Secure. But Can You Verify It?
Read Now¿Qué es GoAnywhere MFT?
GoAnywhere MFT es una solución de transferencia segura de archivos y cifrado de datos que ayuda a las organizaciones a automatizar y simplificar sus procesos de transferencia de archivos. Permite a los usuarios transferir archivos de manera segura, automatizar flujos de trabajo y cifrar datos en reposo o en tránsito.
GoAnywhere MFT admite varios protocolos como FTP, SFTP, HTTPS y AS2, y ofrece características como activadores de archivos, programación de tareas y registros de auditoría detallados. Puede implementarse en las instalaciones de la empresa, en la nube o como una solución híbrida. Ayuda a las organizaciones a cumplir con regulaciones de privacidad de datos como GDPR, HIPAA y PCI DSS.
Descripción general de la vulnerabilidad de día cero de GoAnywhere MFT
La vulnerabilidad de ejecución remota de código (RCE) de día cero (CVE-2023-0669) fue hecha pública por primera vez por el reportero de seguridad Brian Krebs, quien publicó una copia en Mastodon. La vulnerabilidad de día cero de GoAnywhere MFT permite a un atacante crear una puerta trasera no autenticada en el sistema, lo que le permite cargar, eliminar, modificar o extraer archivos del sistema. Al momento de escribir este artículo del blog, no se había asignado un puntaje CVSS (Sistema de Puntuación de Vulnerabilidades Comunes) a la vulnerabilidad.
¿Qué es una falla de inyección de código remoto?
Una falla de inyección de código remoto es un tipo de vulnerabilidad de seguridad que permite a un atacante inyectar código malicioso en una aplicación desde una fuente remota. Es un vector de ataque atractivo debido a su bajo umbral de entrada y su potencial para causar daños a gran escala. El código malicioso puede ejecutarse para realizar actividades maliciosas como robo de datos, escalamiento de privilegios o compromiso del sistema. Las fallas de inyección de código remoto provienen de errores de codificación o validación de entrada inadecuada al escribir aplicaciones. Las prácticas de codificación no seguras permiten a los actores maliciosos encontrar continuamente nuevas formas de explotar aplicaciones.
Los atacantes que aprovechan las fallas de inyección de código remoto emplean una variedad de técnicas, como fuzzing y revisión de código, para identificar y explotar errores de codificación y validación de entrada inadecuada. El fuzzing implica enviar grandes cantidades de datos aleatorios a las entradas para identificar posibles vulnerabilidades. La revisión de código implica analizar el código fuente de una aplicación en busca de posibles fallas. Los atacantes también pueden usar herramientas automatizadas y escáneres para identificar debilidades.
Asesoramiento de seguridad de Fortra en respuesta a la vulnerabilidad de día cero de GoAnywhere MFT
Las consolas administrativas y las interfaces de gestión idealmente nunca deberían estar expuestas a internet. En respuesta a la publicación de Krebs, el profesional de seguridad Kevin Beaumont realizó un escaneo en Shodan para determinar cuántas instancias de GoAnywhere MFT estaban expuestas y encontró 1,008 servidores, principalmente en EE. UU. Sin embargo, al mismo tiempo, BleepingComputer vio solo 151 puertos 8000 y 8001 expuestos.
El aviso de Fortra se titula “Se identificó un exploit de inyección de código remoto de día cero en GoAnywhere MFT”. Los desarrolladores de Fortra escribieron: “El vector de ataque de este exploit requiere acceso a la consola administrativa de la aplicación, que en la mayoría de los casos es accesible solo desde dentro de una red privada de la empresa, a través de VPN o por direcciones IP permitidas (cuando se ejecuta en entornos en la nube, como Azure o AWS).”
Hasta que esté disponible un parche, Fortra recomienda que los administradores de clientes de GoAnywhere MFT apliquen la siguiente mitigación:
- En el sistema de archivos donde está instalado GoAnywhere MFT, edita el archivo: “[install_dire]/adminroot/WEB_INF/web.xml”.
- Encuentra y elimina (borra o comenta) la siguiente configuración de servlet y mapeo de servlet.
- Reinicia la aplicación GoAnywhere MFT.
Minimizar las amenazas persistentes avanzadas
A medida que los actores de amenazas utilizan cada vez más amenazas persistentes avanzadas para acelerar sus ataques como la vulnerabilidad de día cero de GoAnywhere MFT, ocultar sus huellas y obtener mayor acceso a los sistemas en los que hackean, los clientes de GoAnywhere MFT necesitan revisar todas las cuentas de usuario administrativas en busca de cualquier cosa sospechosa. Estas actividades podrían incluir 1) nombres de usuario no reconocidos, 2) los detalles de “Creado por” muestran “sistema”, 3) el momento de la creación de la cuenta es sospechoso, y 4) el Registro de Auditoría de Administrador muestra un superusuario inexistente o deshabilitado creando una cuenta. Al crear cuentas de administrador adicionales, los atacantes pueden extender su persistencia en los clientes finales dentro de la cadena de suministro de GoAnywhere MFT.
4 recomendaciones para los clientes afectados por la vulnerabilidad de día cero de GoAnywhere MFT
A medida que los clientes de GoAnywhere MFT evalúan cómo proceder tras la vulnerabilidad de día cero de GoAnywhere MFT, tengo cuatro recomendaciones:
- Aplicar parches rápidamente: Tan pronto como los parches estén disponibles para la vulnerabilidad de día cero de GoAnywhere MFT, los clientes de GoAnywhere MFT deben implementarlos rápidamente.
- Sigue las instrucciones de Fortra: En caso de una vulnerabilidad de día cero, es crucial que los clientes sigan las instrucciones del proveedor. Consulta la discusión anterior para las acciones que necesitas ejecutar y hazlo lo antes posible.
- Establecer canales de comunicación claros: Designa a todas las partes relevantes dentro de tu organización para la comunicación con el equipo de GoAnywhere MFT y asegúrate de que conozcan sus nombres, información de contacto y responsabilidades.
- Adherirse a las mejores prácticas: Sigue tanto las mejores prácticas del proveedor de software como las mejores prácticas de seguridad de tu propia organización. En el caso de la vulnerabilidad de día cero de GoAnywhere MFT, Fortra aconsejó a los clientes acceder a la consola administrativa a través de VPN o servicio en la nube habilitado por IP, y revisar todos los usuarios administrativos y monitorear cualquier nombre de usuario no reconocido, particularmente aquellos creados por “sistema”.
Lecciones de respuesta a incidentes y fortalecimiento de la seguridad
Junto con otros líderes de la empresa, estuve al frente de la respuesta a una vulnerabilidad de día cero en el dispositivo de transferencia de archivos (FTA) heredado de Accellion hace aproximadamente dos años. Trabajamos estrechamente con Mandiant durante la respuesta al incidente y descubrimos que es crucial actuar rápidamente y tener un proveedor de software que implemente medidas de mitigación efectivas. También es importante para los clientes de GoAnywhere MFT afectados por la vulnerabilidad de día cero de GoAnywhere MFT recordar que debido a la naturaleza persistente de muchos ciberataques, necesitan adherirse tanto a sus propias mejores prácticas de seguridad como a las recomendadas por Fortra para prevenir vulnerabilidades adicionales.
La ventaja es que a pesar de la violación del FTA, pudimos retener a más del 90% de nuestros clientes al hacer la transición a la Red de Contenido Privado de Kiteworks (PCN). Esto demuestra cómo el manejo cuidadoso y diligente de un incidente puede marcar la diferencia en el resultado para una empresa. Hoy en día, Kiteworks PCN es ampliamente considerada como una de las plataformas más seguras disponibles con un dispositivo virtual reforzado y un enfoque de seguridad de defensa en profundidad, con la empresa experimentando su año de mayor crecimiento en el FY22.
- Resumen Kiteworks MFT (Transferencia de Archivos Administrada)
- Resumen El dispositivo virtual reforzado de Kiteworks proporciona múltiples capas de seguridad para reducir drásticamente la explotación de vulnerabilidades y la gravedad del impacto
- Artículo del Blog Venciendo a Log4Shell: Cómo el dispositivo reforzado de Kiteworks estuvo a la altura de su nombre
- Resumen Las 5 principales ventajas de las capacidades de Kiteworks MFT sobre Axway MFT
- Video Kiteworks Snackable Bytes: MFT Seguro
Frequently Asked Questions
Cybersecurity Risk Management is a strategic approach used by organizations to identify, assess, and prioritize potential threats to their digital assets, such as hardware, systems, customer data, and intellectual property. It involves conducting a risk assessment to identify the most significant threats and creating a plan to address them, which may include preventive measures like firewalls and antivirus software. This process also requires regular monitoring and updating to account for new threats and organizational changes. The ultimate goal of Cybersecurity Risk Management is to safeguard the organization's information assets, reputation, and legal standing, making it a crucial component of any organization's overall risk management strategy.
The key components of a Cybersecurity Risk Management program include risk identification, risk assessment, risk mitigation, and continuous monitoring. It also involves developing a cybersecurity policy, implementing security controls, and conducting regular audits and reviews.
Organizations can mitigate cybersecurity risks through several strategies. These include implementing strong access control measures like robust passwords and multi-factor authentication, regularly updating and patching systems to fix known vulnerabilities, and conducting employee training to recognize potential threats. The use of security software, such as antivirus and anti-malware programs, can help detect and eliminate threats, while regular data backups can mitigate damage from data breaches or ransomware attacks. Having an incident response plan can minimize damage during a cybersecurity incident, and regular risk assessments can identify and address potential vulnerabilities. Lastly, compliance with industry standards and regulations, such as the Cybersecurity Maturity Model Certification (CMMC) and National Institute of Standards and Technology (NIST) standards, can further help organizations mitigate cybersecurity risks.
A risk assessment is a crucial part of Cybersecurity Risk Management. It involves identifying potential threats and vulnerabilities, assessing the potential impact and likelihood of these risks, and prioritizing them based on their severity. This helps in developing effective strategies to mitigate these risks.
Continuous monitoring is a vital component of Cybersecurity Risk Management, providing real-time observation and analysis of system components to detect security anomalies. This enables immediate threat detection and response, helping to prevent or minimize damage. It also ensures compliance with cybersecurity standards and regulations, allowing organizations to quickly address any areas of non-compliance. By tracking system performance, continuous monitoring aids in identifying potential vulnerabilities, while the data gathered informs decision-making processes about resource allocation, risk management strategies, and security controls.