Vulnérabilité Zero-day de GoAnywhere MFT

Vulnérabilité Zero-day de GoAnywhere MFT : Ce que vous devez savoir

Le 1er février, les chercheurs de Fortra ont averti leurs clients d’une faille de sécurité de type injection de code à distance (zero-day) dans leur logiciel GoAnywhere MFT. La vulnérabilité zero-day de GoAnywhere MFT expose les consoles d’administration qui se connectent directement à internet au lieu de passer par des réseaux privés virtuels (VPN) ou par des services cloud basés sur IP comme AWS et Azure.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?

Lire maintenant

Qu’est-ce que GoAnywhere MFT ?

GoAnywhere MFT est une solution de transfert de fichiers sécurisé et de chiffrement des données qui aide les organisations à automatiser et rationaliser leurs processus de transfert de fichiers. Elle permet aux utilisateurs de transférer des fichiers de manière sécurisée, d’automatiser les flux de travail et de chiffrer les données au repos ou en transit.

GoAnywhere MFT prend en charge divers protocoles tels que FTP, SFTP, HTTPS et AS2, et offre des fonctionnalités telles que les déclencheurs de fichiers, la planification des tâches et des journaux d’audit détaillés. Il peut être déployé sur site, dans le cloud, ou comme une solution hybride. Il aide les organisations à être conformes aux réglementations sur la protection des données telles que le RGPD, HIPAA et PCI DSS.

Aperçu du Zero-day GoAnywhere MFT

La vulnérabilité d’exécution de code à distance (RCE) zero-day (CVE-2023-0669) a été rendue publique pour la première fois par le journaliste de sécurité Brian Krebs, qui a publié une copie sur Mastodon. La vulnérabilité zero-day de GoAnywhere MFT permet à un attaquant de créer une porte dérobée non authentifiée dans le système, permettant à un attaquant de télécharger, supprimer, modifier ou extraire des fichiers du système. Au moment de la rédaction de cet article de blog, un score CVSS (Common Vulnerability Scoring System) n’avait pas encore été attribué à la vulnérabilité.

Qu’est-ce qu’une faille d’injection de code à distance ?

Une faille d’injection de code à distance est un type de vulnérabilité de sécurité qui permet à un attaquant d’injecter du code malveillant dans une application depuis une source distante. C’est un vecteur d’attaque attrayant en raison de sa faible barrière d’entrée et de son potentiel de dommages à grande échelle. Le code malveillant peut ensuite être exécuté pour réaliser des activités malveillantes telles que le vol de données, l’escalade de privilèges ou la compromission du système. Les failles d’injection de code à distance proviennent d’erreurs de codage ou d’une validation d’entrée inadéquate lors de l’écriture d’applications. Les pratiques de codage non sécurisées permettent aux acteurs malveillants de trouver continuellement de nouvelles façons d’exploiter les applications.

Les attaquants qui exploitent les failles d’injection de code à distance utilisent une variété de techniques, telles que le fuzzing et la revue de code, pour identifier et exploiter les erreurs de codage et la validation d’entrée inadéquate. Le fuzzing implique l’envoi de grandes quantités de données aléatoires aux entrées pour identifier les vulnérabilités potentielles. La revue de code implique l’analyse du code source d’une application à la recherche de failles potentielles. Les attaquants peuvent également utiliser des outils automatisés et des scanners pour identifier les faiblesses.

Conseil de sécurité de Fortra en réponse au Zero-day GoAnywhere MFT

Les consoles d’administration et les interfaces de gestion ne devraient idéalement jamais être exposées à Internet. En réponse à l’article de Krebs, le professionnel de la sécurité Kevin Beaumont a effectué un scan Shodan pour déterminer combien d’instances GoAnywhere MFT étaient exposées et en a trouvé sur 1 008 serveurs, principalement aux États-Unis. Cependant, en même temps, BleepingComputer n’a vu que 151 ports exposés 8000 et 8001.

L’avis de Fortra est intitulé « Une exploitation de l’injection de code à distance Zero-Day a été identifiée dans GoAnywhere MFT. » Les développeurs chez Fortra ont écrit, « Le vecteur d’attaque de cette exploitation nécessite l’accès à l’interface administrateur de l’application, qui dans la plupart des cas est accessible uniquement depuis un réseau d’entreprise privé, via VPN, ou par des adresses IP autorisées (lorsqu’il est exécuté dans des environnements cloud, tels qu’Azure ou AWS). »

En attendant qu’un correctif soit disponible, Fortra recommande aux administrateurs clients de GoAnywhere MFT d’appliquer la mesure d’atténuation suivante :

  1. Sur le système de fichiers où GoAnywhere MFT est installé, éditez le fichier :
    “[install_dire]/adminroot/WEB_INF/web.xml.”
  2. Trouvez et supprimez (effacez ou commentez) la configuration suivante du servlet et du servlet-mapping.
  3. Redémarrez l’application GoAnywhere MFT.

Atténuation des menaces persistantes avancées

Étant donné que les acteurs de menaces utilisent de plus en plus des menaces persistantes avancées pour accélérer leurs attaques telles que le Zero-day GoAnywhere MFT, brouiller leurs pistes et obtenir un accès plus important aux systèmes dans lesquels ils piratent, les clients de GoAnywhere MFT doivent examiner tous les comptes d’utilisateurs administratifs pour détecter toute activité suspecte. Ces activités pourraient inclure 1) des noms d’utilisateur non reconnus, 2) les détails « Créé par » indiquent « système », 3) le moment de la création du compte est suspect, et 4) le journal d’audit Admin montre un super utilisateur non existant ou désactivé créant un compte. En créant des comptes admin supplémentaires, les attaquants peuvent prolonger leur persistance chez les clients finaux au sein de la chaîne d’approvisionnement GoAnywhere MFT.

4 recommandations pour les clients impactés par le Zero-day GoAnywhere MFT

Alors que les clients de GoAnywhere MFT évaluent comment procéder suite au Zero-day GoAnywhere MFT, j’ai quatre recommandations :

  1. Appliquez Promptement les Correctifs :Dès que des correctifs deviennent disponibles pour la vulnérabilité Zero-day de GoAnywhere MFT, les clients de GoAnywhere MFT devraient les mettre en œuvre promptement.
  2. Suivez les Instructions de Fortra :En cas de vulnérabilité Zero-day, il est crucial pour les clients de suivre les instructions du vendeur. Voir la discussion ci-dessus pour les actions à exécuter et faites-le dès que possible.
  3. Établissez des Canaux de Communication Clairs : Désignez toutes les parties concernées au sein de votre organisation pour la communication avec l’équipe de Kiteworks MFT et assurez-vous qu’elles sont informées de leurs noms, informations de contact et responsabilités.
  4. Adhérez aux meilleures pratiques :Suivez à la fois les meilleures pratiques du fournisseur de logiciels et les meilleures pratiques de sécurité de votre propre organisation. Dans le cas du Zero-day de GoAnywhere MFT, Fortra a conseillé aux clients d’accéder à l’interface administrateur via un service cloud activé par VPN ou IP, et de revoir tous les utilisateurs administratifs et de surveiller tout nom d’utilisateur non reconnu, en particulier ceux créés par “système”.

Enseignements tirés de la réponse à l’incident et renforcement de la sécurité

Avec d’autres leaders de l’entreprise, j’étais en première ligne en réponse à une vulnérabilité zero-day dans l’ancien File Transfer Appliance (FTA) d’Accellion il y a environ deux ans. Nous avons travaillé étroitement avec Mandiant pendant la réponse à l’incident et avons constaté qu’il est crucial d’agir rapidement et d’avoir un fournisseur de logiciels qui met en œuvre des mesures d’atténuation efficaces. Il est également important pour les clients de GoAnywhere MFT affectés par le Zero-day de GoAnywhere MFT de se rappeler qu’en raison de la nature persistante de nombreuses cyberattaques, ils doivent adhérer à leurs propres meilleures pratiques de sécurité ainsi qu’à celles recommandées par Fortra pour prévenir des vulnérabilités supplémentaires.

Le point positif est que malgré la violation du FTA, nous avons réussi à conserver plus de 90% de nos clients en passant au Réseau de contenu privé Kiteworks (PCN) proposé. Cela montre comment une gestion soigneuse et diligente d’un incident peut faire une différence dans le résultat pour une entreprise. Aujourd’hui, le PCN de Kiteworks est largement considéré comme l’une des plateformes les plus sécurisées disponibles avec une appliance virtuelle durcie et une approche de sécurité en profondeur, l’entreprise connaissant son année de croissance la plus forte en FY22.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks