I produttori del programma di trasferimento di file GoAnywhere MFT avvertono i clienti di una vulnerabilità zero-day per l’esecuzione di codice remoto se le loro console di amministratore vengono lasciate aperte.

Lo scambio sicuro di dati è reso possibile da GoAnywhere, una soluzione basata sul web che offre la crittografia dei file condivisi con i partner, oltre a una registrazione completa per monitorare chi vi ha avuto accesso.

Un individuo a cui è stato notificato questo problema ha riferito a BleepingComputer che il problema riguarda sia la versione on-premise che quella basata su cloud di GoAnywhere, anche se dobbiamo ancora confermarlo in modo indipendente.

L’avviso di sicurezza indica che l’exploit richiede l’accesso alla console amministrativa, che non dovrebbe essere pubblicamente disponibile online.

L’avviso di sicurezza di GoAnywhere segnala la recente scoperta di un exploit Zero-Day Remote Code Injection in GoAnywhere MFT.

Questo exploit richiede l’accesso alla console di amministrazione dell’applicazione, che in genere è accessibile solo all’interno di una rete aziendale, tramite una VPN o con indirizzi IP specificamente autorizzati (quando l’applicazione opera nel cloud, ad esempio con AWS o Azure).

Fortra consiglia agli amministratori di adottare le seguenti misure preventive per prevenire lo sfruttamento della vulnerabilità zero-day in assenza di una patch:

1. Sul computer in cui si trova GoAnywhere MFT, aprire il file “[install_dir]/adminroot/WEB_INF/web.xml” per modificarlo.
2. Individuare ed eliminare, o commentare, la configurazione di servlet e servlet-mapping, come si vede nell’immagine inclusa.
3. Infine, riavviare l’applicazione GoAnywhere MFT.

Al momento non sembra esserci un modo per bloccare gli attacchi, poiché Fortra non ha ancora rilasciato una patch di sicurezza.

Fortra ha messo temporaneamente offline la propria soluzione SaaS mentre lavora alla correzione del bug.

L’azienda suggerisce agli amministratori di effettuare una valutazione delle proprie configurazioni, ad esempio:

Verificare se il “sistema” ha generato account di amministratore non familiari e se il “Registro di controllo dell’amministrazione mostra un superutente mancante o disattivato che crea questo account”.

Esaminare il registro di controllo per l’amministrazione (Reporting -> Audit Logs -> Administration) per individuare eventuali attività svolte dall’utente root.

È possibile evitare il plagio modificando la forma del testo, pur mantenendo lo stesso significato. Questo può essere fatto riformulando il contenuto e ristrutturando le frasi per creare un nuovo testo che trasmetta lo stesso messaggio.

Un modo diverso di formulare la stessa idea è dire che tutte le persone dovrebbero essere trattate in modo uguale e con rispetto, indipendentemente dal loro background o dalle circostanze.

A tutti dovrebbe essere data la stessa possibilità di avere successo e di godere delle opportunità della vita. A nessuno dovrebbe essere negata la possibilità di realizzare il proprio potenziale in base al proprio background o status sociale.

Kevin Beaumont, un esperto di sicurezza, ha condotto un’indagine su Shodan per scoprire il numero di istanze GoAnywhere esposte su Internet e il risultato è stato di 1.008 server, principalmente negli Stati Uniti.

Beaumont ha dichiarato che la maggior parte delle console di gestione utilizza le porte 8000 e 8001 e BleepingComputer ne ha scoperte solo 151 aperte.