最后更新于2024年2月27日星期二17:15:15 GMT
2024年1月22日,Fortra发布了一份 security advisory 在CVE-2024-0204中,一个关键的认证绕过影响其 GoAnywhere MFT 版本7之前的安全托管文件传输产品.4.1. 该漏洞可以远程利用,并允许未经授权的用户通过管理门户创建管理员用户. Fortra将CVE-2024-0204的根本原因列出为 CWE-425: Forced Browsing , 当web应用程序没有充分地对受限制的url强制授权时,会出现哪些弱点, scripts, or files.
Fortra显然解决了这个漏洞 December 7, 2023 release GoAnywhere MFT的首席执行官,但似乎他们直到现在才发布警告. According to a screenshot from Mohammed Eldeeb, 发现漏洞的研究人员, 大约在12月4日,GoAnywhere MFT的用户就可以使用私人通讯了. 此后,Fortra向新闻媒体表示,在披露时,CVE-2024-0204并未在野外被利用.
在2023年2月,一个零日漏洞(CVE-2023-0669)中MFT被利用 large-scale extortion campaign 由Cl0p勒索软件组织实施. It’s unclear from Fortra’s initial advisory CVE-2024-0204是否被利用, 但我们预计,如果这个漏洞尚未受到攻击,它将很快被锁定, 特别是在一个多月前,修复程序就可以进行逆向工程了. Rapid7强烈建议GoAnywhere MFT客户采取紧急行动.
Mitigation guidance
CVE-2024-0204影响以下版本的GoAnywhere MFT:
- Fortra GoAnywhere MFT 6.x from 6.0.1
- Fortra GoAnywhere MFT 7.x before 7.4.1
GoAnywhere的MFT客户还没有更新到固定版本(7.4.1或更高)应该在紧急情况下这样做,而不必等待常规补丁周期的发生. 组织还应确保管理门户不暴露给公共internet.
Per the vendor advisory,在非容器部署中,也可以通过删除 InitialAccountSetup.xhtml 文件,并重新启动服务. 对于容器部署的实例,将该文件替换为空文件并重新启动. For additional information, see http://my.goanywhere.com/webclient/ViewSecurityAdvisories.xhtml (registration required).”
如果您无法更新到固定版本,Fortra提供了两种手动缓解途径:
- Deleting the
InitialAccountSetup.xhtml文件,并重新启动服务. - Replacing the
InitialAccountSetup.xhtml使用空文件重新启动服务.
Rapid7 customers
InsightVM和expose客户可以使用未经身份验证的漏洞检查(vuln ID: goanywhere-cve-2024-0204)在1月23日美国东部时间下午3:20发布的内容更新中可用.
Updates
January 23, 2024: 更新说明该漏洞 似乎已经沟通过了 12月初私下向GoAnywhere MFT客户表示. 更新了缓解指南,以强调不应将管理门户暴露给公共互联网.
January 24, 2024: 更新后,Fortra表示CVE-2024-0204在公开披露时未被利用.
