Schwerwiegende Sicherheitslücke in GoAnywhere MFT ausgenutzt

Zeit für ein Update von Fortra GoAnywhere MFT: Es wurde ein Exploit für eine kritische Sicherheitslücke entwickelt, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und Admin-Konten zu erstellen.

Mehrere Experten haben die Sicherheitslücke CVE-2024-0204 in der Software Fortra GoAnywhere MFT (MFT steht für Managed File Transfer) analysiert und einen Exploit-Code veröffentlicht, der diese Lücke ausnutzt. Wir erklären die Gefahr und was Unternehmen, die diese Software verwenden, dagegen tun sollten.

 

Sicherheitslücke CVE-2024-0204 in GoAnywhere MFT

Lassen Sie uns zunächst kurz nachverfolgen, wie es zu dieser Sicherheitslücke in GoAnywhere kam. Tatsächlich hat Fortra, das Unternehmen, das diese Lösung entwickelt, diese Sicherheitslücke bereits Anfang Dezember 2023 mit der Veröffentlichung von GoAnywhere MFT 7.4.1 geschlossen. Damals entschied sich das Unternehmen jedoch, keine Informationen über die Sicherheitslücke zu veröffentlichen und beschränkte sich darauf, private Empfehlungen an Kunden zu senden.

Die Sicherheitslücke sieht im Wesentlichen wie folgt aus. Nachdem ein Benutzer die Ersteinrichtung von GoAnywhere abgeschlossen hat, blockiert die interne Logik des Produkts den Zugriff auf die Seite für die Ersteinrichtung des Kontos. Wenn der Benutzer dann versucht, auf diese Seite zuzugreifen, wird er entweder zum Verwaltungsbereich (wenn er als Administrator authentifiziert ist) oder zur Authentifizierungsseite weitergeleitet.

Untersuchungen haben jedoch ergeben, dass ein alternativer Pfad zur Datei InitialAccountSetup.xhtml verwendet werden kann, der von der Umleitungslogik nicht berücksichtigt wird. In diesem Szenario ermöglicht es GoAnywhere MFT jedem, auf diese Seite zuzugreifen und ein neues Benutzerkonto mit Administratorrechten zu erstellen.

Als Beweis für die Durchführbarkeit des Angriffs haben die Forscher ein kurzes Skript erstellt und veröffentlicht, mit dem Administratorkonten in anfälligen Versionen von GoAnywhere MFT angelegt werden können. Ein Angreifer muss lediglich einen neuen Kontonamen, ein Kennwort (die einzige Anforderung ist, dass es mindestens acht Zeichen enthält, was an sich schon interessant ist) und den Pfad angeben:

Teil des Exploit-Codes für die Sicherheitslücke CVE-2024-0204 in Fortra GoAnywhere MFT

Ein Teil des Exploit-Codes für die Sicherheitslücke CVE-2024-0204. Rot hervorgehoben ist der alternative Pfad zur Seite für die anfängliche Kontoeinrichtung, die die Erstellung von Benutzern mit Administratorrechten ermöglicht

 

Im Großen und Ganzen ähnelt diese Sicherheitslücke derjenigen, die vor einigen Monaten in Atlassian Confluence Data Center und Confluence Server entdeckt wurde; auch dort war es möglich, in wenigen einfachen Schritten Admin-Konten zu erstellen.

Fortra stufte die Sicherheitslücke CVE-2024-0204 als „kritisch“ ein, mit einer CVSS 3.1 Bewertung von 9,8 von 10.

Hierzu ist ein wenig Kontext erforderlich. Im Jahr 2023 nutzte die Ransomware-Gruppe Clop bereits Schwachstellen in Fortra GoAnywhere MFT und auch in ähnlichen Produkten anderer Entwickler – Progress MOVEit, Accellion FTA und SolarWinds Serv-U – aus, um Hunderte von Unternehmen weltweit anzugreifen. Vor allem Unternehmen wie Procter & Gamble, Community Health Systems (CHS, eines der größten Krankenhausnetzwerke in den USA) und die Stadtverwaltung von Toronto waren von der Schwachstelle in GoAnywhere MFT betroffen.

 

Wie Sie sich gegen die Sicherheitslücke CVE-2024-0204 schützen können

Die naheliegendste Möglichkeit, sich vor der Ausnutzung dieser Sicherheitslücke zu schützen, ist ein sofortiges Update von GoAnywhere MFT auf Version 7.4.1, das die Logik zur Verweigerung des Zugriffs auf die Seite InitialAccountSetup.xhtml behebt.

Wenn Sie das Update aus irgendeinem Grund nicht installieren können, können Sie eine von zwei einfachen Umgehungen versuchen:

  • Löschen Sie die Datei InitialAccountSetup.xhtml im Installationsordner und starten Sie den Dienst neu;

oder

  • Ersetzen Sie InitialAccountSetup.xhtml durch eine leere Datei und starten Sie den Dienst neu.

 

Zudem sollten Sie eine EDR (Endpoint Detection and Response) Lösung verwenden, um verdächtige Aktivitäten im Unternehmensnetzwerk zu überwachen. Wenn Ihrem internen Cybersicherheitsteam die Fähigkeiten oder Ressourcen dafür fehlen, können Sie einen [MDR placeholder]externen Dienst[/placeholder] nutzen, um kontinuierlich nach Bedrohungen für Ihr Unternehmen zu suchen und schnell darauf zu reagieren.

 

Tipps