Vulnerabilidad Zero-day en GoAnywhere MFT: Lo que Necesitas Saber
El 1 de febrero, los investigadores de Fortra advirtieron a los clientes sobre una vulnerabilidad de inyección de código remoto de día cero en su software GoAnywhere MFT. La vulnerabilidad de día cero de GoAnywhere MFT expone consolas de administrador que se conectan directamente a internet en lugar de enrutar a través de redes privadas virtuales (VPN) o a través de servicios en la nube basados en IP como AWS y Azure.
¿Qué es GoAnywhere MFT?
GoAnywhere MFT es una solución de transferencia segura de archivos y cifrado de datos que ayuda a las organizaciones a automatizar y simplificar sus procesos de transferencia de archivos. Permite a los usuarios transferir archivos de manera segura, automatizar flujos de trabajo y cifrar datos en reposo o en tránsito.
GoAnywhere MFT admite varios protocolos como FTP, SFTP, HTTPS y AS2, y ofrece características como activadores de archivos, programación de tareas y registros de auditoría detallados. Puede implementarse en las instalaciones de la empresa, en la nube o como una solución híbrida. Ayuda a las organizaciones a cumplir con regulaciones de privacidad de datos como GDPR, HIPAA y PCI DSS.
Descripción general de la vulnerabilidad de día cero de GoAnywhere MFT
La vulnerabilidad de ejecución remota de código (RCE) de día cero (CVE-2023-0669) fue hecha pública por primera vez por el reportero de seguridad Brian Krebs, quien publicó una copia en Mastodon. La vulnerabilidad de día cero de GoAnywhere MFT permite a un atacante crear una puerta trasera no autenticada en el sistema, lo que le permite cargar, eliminar, modificar o extraer archivos del sistema. Al momento de escribir este artículo del blog, no se había asignado un puntaje CVSS (Sistema de Puntuación de Vulnerabilidades Comunes) a la vulnerabilidad.
¿Qué es una falla de inyección de código remoto?
Una falla de inyección de código remoto es un tipo de vulnerabilidad de seguridad que permite a un atacante inyectar código malicioso en una aplicación desde una fuente remota. Es un vector de ataque atractivo debido a su bajo umbral de entrada y su potencial para causar daños a gran escala. El código malicioso puede ejecutarse para realizar actividades maliciosas como robo de datos, escalamiento de privilegios o compromiso del sistema. Las fallas de inyección de código remoto provienen de errores de codificación o validación de entrada inadecuada al escribir aplicaciones. Las prácticas de codificación no seguras permiten a los actores maliciosos encontrar continuamente nuevas formas de explotar aplicaciones.
Los atacantes que aprovechan las fallas de inyección de código remoto emplean una variedad de técnicas, como fuzzing y revisión de código, para identificar y explotar errores de codificación y validación de entrada inadecuada. El fuzzing implica enviar grandes cantidades de datos aleatorios a las entradas para identificar posibles vulnerabilidades. La revisión de código implica analizar el código fuente de una aplicación en busca de posibles fallas. Los atacantes también pueden usar herramientas automatizadas y escáneres para identificar debilidades.
Asesoramiento de seguridad de Fortra en respuesta a la vulnerabilidad de día cero de GoAnywhere MFT
Las consolas administrativas y las interfaces de gestión idealmente nunca deberían estar expuestas a internet. En respuesta a la publicación de Krebs, el profesional de seguridad Kevin Beaumont realizó un escaneo en Shodan para determinar cuántas instancias de GoAnywhere MFT estaban expuestas y encontró 1,008 servidores, principalmente en EE. UU. Sin embargo, al mismo tiempo, BleepingComputer vio solo 151 puertos 8000 y 8001 expuestos.
El aviso de Fortra se titula “Se identificó un exploit de inyección de código remoto de día cero en GoAnywhere MFT”. Los desarrolladores de Fortra escribieron: “El vector de ataque de este exploit requiere acceso a la consola administrativa de la aplicación, que en la mayoría de los casos es accesible solo desde dentro de una red privada de la empresa, a través de VPN o por direcciones IP permitidas (cuando se ejecuta en entornos en la nube, como Azure o AWS).”
Hasta que esté disponible un parche, Fortra recomienda que los administradores de clientes de GoAnywhere MFT apliquen la siguiente mitigación:
- En el sistema de archivos donde está instalado GoAnywhere MFT, edita el archivo: “[install_dire]/adminroot/WEB_INF/web.xml”.
- Encuentra y elimina (borra o comenta) la siguiente configuración de servlet y mapeo de servlet.
- Reinicia la aplicación GoAnywhere MFT.
Minimizar las amenazas persistentes avanzadas
A medida que los actores de amenazas utilizan cada vez más amenazas persistentes avanzadas para acelerar sus ataques como la vulnerabilidad de día cero de GoAnywhere MFT, ocultar sus huellas y obtener mayor acceso a los sistemas en los que hackean, los clientes de GoAnywhere MFT necesitan revisar todas las cuentas de usuario administrativas en busca de cualquier cosa sospechosa. Estas actividades podrían incluir 1) nombres de usuario no reconocidos, 2) los detalles de “Creado por” muestran “sistema”, 3) el momento de la creación de la cuenta es sospechoso, y 4) el Registro de Auditoría de Administrador muestra un superusuario inexistente o deshabilitado creando una cuenta. Al crear cuentas de administrador adicionales, los atacantes pueden extender su persistencia en los clientes finales dentro de la cadena de suministro de GoAnywhere MFT.
4 recomendaciones para los clientes afectados por la vulnerabilidad de día cero de GoAnywhere MFT
A medida que los clientes de GoAnywhere MFT evalúan cómo proceder tras la vulnerabilidad de día cero de GoAnywhere MFT, tengo cuatro recomendaciones:
- Aplicar parches rápidamente: Tan pronto como los parches estén disponibles para la vulnerabilidad de día cero de GoAnywhere MFT, los clientes de GoAnywhere MFT deben implementarlos rápidamente.
- Sigue las instrucciones de Fortra: En caso de una vulnerabilidad de día cero, es crucial que los clientes sigan las instrucciones del proveedor. Consulta la discusión anterior para las acciones que necesitas ejecutar y hazlo lo antes posible.
- Establecer canales de comunicación claros: Designa a todas las partes relevantes dentro de tu organización para la comunicación con el equipo de GoAnywhere MFT y asegúrate de que conozcan sus nombres, información de contacto y responsabilidades.
- Adherirse a las mejores prácticas: Sigue tanto las mejores prácticas del proveedor de software como las mejores prácticas de seguridad de tu propia organización. En el caso de la vulnerabilidad de día cero de GoAnywhere MFT, Fortra aconsejó a los clientes acceder a la consola administrativa a través de VPN o servicio en la nube habilitado por IP, y revisar todos los usuarios administrativos y monitorear cualquier nombre de usuario no reconocido, particularmente aquellos creados por “sistema”.
Lecciones de respuesta a incidentes y fortalecimiento de la seguridad
Junto con otros líderes de la empresa, estuve al frente de la respuesta a una vulnerabilidad de día cero en el dispositivo de transferencia de archivos (FTA) heredado de Accellion hace aproximadamente dos años. Trabajamos estrechamente con Mandiant durante la respuesta al incidente y descubrimos que es crucial actuar rápidamente y tener un proveedor de software que implemente medidas de mitigación efectivas. También es importante para los clientes de GoAnywhere MFT afectados por la vulnerabilidad de día cero de GoAnywhere MFT recordar que debido a la naturaleza persistente de muchos ciberataques, necesitan adherirse tanto a sus propias mejores prácticas de seguridad como a las recomendadas por Fortra para prevenir vulnerabilidades adicionales.
La ventaja es que a pesar de la violación del FTA, pudimos retener a más del 90% de nuestros clientes al hacer la transición a la Red de Contenido Privado de Kiteworks (PCN). Esto demuestra cómo el manejo cuidadoso y diligente de un incidente puede marcar la diferencia en el resultado para una empresa. Hoy en día, Kiteworks PCN es ampliamente considerada como una de las plataformas más seguras disponibles con un dispositivo virtual reforzado y un enfoque de seguridad de defensa en profundidad, con la empresa experimentando su año de mayor crecimiento en el FY22.
- Resumen Kiteworks MFT (Transferencia de Archivos Administrada)
- Resumen El dispositivo virtual reforzado de Kiteworks proporciona múltiples capas de seguridad para reducir drásticamente la explotación de vulnerabilidades y la gravedad del impacto
- Artículo del Blog Venciendo a Log4Shell: Cómo el dispositivo reforzado de Kiteworks estuvo a la altura de su nombre
- Resumen Las 5 principales ventajas de las capacidades de Kiteworks MFT sobre Axway MFT
- Video Kiteworks Snackable Bytes: MFT Seguro