يحذر مطورو حل نقل الملفات GoAnywhere MFT العملاء من ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في اليوم صفر على وحدة تحكم المسؤول المكشوفة.
GoAnywhere هو حل آمن لنقل ملفات الويب يسمح للشركات وشركائها بنقل الملفات المشفرة بأمان مع الاحتفاظ بسجل تدقيق مفصل لمن يصل إلى الملفات.
تم نشر نصيحة GoAnywhere الأمنية هذه في الأصل بواسطة الصحفي Brian Krebs، الذي نشر نسخة على Mastodon.
أخبر أحد العملاء الذي تم إخطاره لـ BleepingComputer أن هذا يؤثر على تطبيقات GoAnywhere و SaaS داخل الشركة، لكن لا يمكننا تأكيد ذلك بشكل مستقل في الوقت الحالي.
وفقًا لنشرة الأمن، يتطلب الاستغلال الوصول إلى وحدة التحكم في الإدارة، والتي لا ينبغي عادةً أن تتعرض للإنترنت.
يحذر GoAnywhere Security Advisor من وجود ثغرة أمنية في إدخال التعليمات البرمجية عن بُعد في اليوم صفر والتي تم العثور عليها في GoAnywhere MFT.
يتطلب متجه الهجوم لهذا الاستغلال الوصول إلى وحدة التحكم الإدارية للتطبيق، والتي لا يمكن الوصول إليها في معظم الحالات إلا من داخل شبكة شركة خاصة أو عبر VPN أو عبر عنوان IP مسموح به (عند التشغيل في بيئة سحابية مثل Azure أو AWS).).
نظرًا لعدم وجود تصحيحات حاليًا لثغرة يوم الصفر، تحث Fortra المسؤولين على تطبيق عوامل التخفيف التالية:
- في نظام الملفات حيث تم تثبيت GoAnywhere MFT، قم بتحرير الملف [install_dir] /adminroot/WEB_INF/web.xml.
- حدد موقع (حذف أو تعليق) وحذف تكوينات servlet و servlet-mapping التالية في لقطة الشاشة أدناه.
- أعد تشغيل تطبيق GoAnywhere MFT.
في الوقت الحالي، لا توجد طريقة أخرى للتخفيف من حدة الهجوم لأن Fortra لم تقدم تحديثات أمنية بعد.
تقوم Fortra أيضًا بإغلاق حل SaaS مؤقتًا أثناء عمل الخطأ.
توصي الشركة أيضًا بأن يقوم المسؤولون بإجراء عمليات تدقيق لعمليات التثبيت الخاصة بهم، بما في ذلك:
- تحقق لمعرفة ما إذا تم إنشاء حساب مسؤول جديد لا يتعرف عليه النظام، وإذا أظهر سجل تدقيق المسؤول أن المستخدم المتميز الذي أنشأ هذا الحساب غير موجود أو معطل.
- ابحث عن النشاط في سجل المسؤول (التقارير -> سجل التدقيق -> المسؤول). ابحث عن أي شيء تم إنشاؤه بواسطة المستخدم الجذر.
أجرى الخبير الأمني Kevin Beaumont فحصًا لـ Shodan لتحديد عدد حالات GoAnywhere التي تم اكتشافها على الإنترنت ووجد 1،008 خادمًا يقع بشكل أساسي في الولايات المتحدة.
ومع ذلك، فإن معظم وحدات التحكم الإدارية تستخدم المنفذين 8000 و 8001، مع رؤية BleepingComputer 151 فقط مكشوفًا، على حد قول بومونت.
على الرغم من أن سطح الهجوم قد يبدو محدودًا، فمن المهم ملاحظة أن المؤسسات الكبيرة تستخدم هذه المنتجات لنقل الملفات الحساسة مع شركائها.
يستخدم BleepingComputer حلول نقل ملفات GoAnywhere لاستهداف الحكومات المحلية وشركات الرعاية الصحية والبنوك وشركات الطاقة وشركات الخدمات المالية والمتاحف وشركات تصنيع قطع الكمبيوتر.
لذلك، حتى الخرق الفردي الذي يستغل ثغرة يوم الصفر في GoAnywhere MFT قد يؤدي إلى الكشف عن معلومات حساسة يمكن استخدامها للحصول على فدية.
كان هذا هو الحال مع اختراق عام 2021 لـ Accellion FTA (جهاز نقل الملفات) من قبل عصابة Clop ransomware، والتي أثرت على العديد من الشركات المعروفة في جميع أنحاء العالم.
تواصلت شركة BleepingComputer مع Fortra لطلب مزيد من التفاصيل حول ما إذا كان يتم استغلال الهجوم بشكل فعال، وسنقوم بتحديث هذا المنشور بمجرد سماع رد.