最后更新于2024年2月27日星期二17:15:15 GMT
2024年1月22日,Fortra发布了一份 安全咨询 在CVE-2024-0204中,一个关键的认证绕过影响其 GoAnywhere管辖 版本7之前的安全托管文件传输产品.4.1. 该漏洞可以远程利用,并允许未经授权的用户通过管理门户创建管理员用户. Fortra将CVE-2024-0204的根本原因列出为 CWE-425:强制浏览 , 当web应用程序没有充分地对受限制的url强制授权时,会出现哪些弱点, 脚本, 或文件.
Fortra显然解决了这个漏洞 2023年12月7日发布 GoAnywhere管辖的首席执行官,但似乎他们直到现在才发布警告. 根据 一个屏幕截图 穆罕默德·埃尔迪布, 发现漏洞的研究人员, 大约在12月4日,GoAnywhere管辖的用户就可以使用私人通讯了. 此后,Fortra向新闻媒体表示,在披露时,CVE-2024-0204并未在野外被利用.
在2023年2月,一个零日漏洞(cve - 2023 - 0669)中MFT被利用 大规模勒索活动 由Cl0p勒索软件组织实施. 从福特拉的情况看不清楚 最初的咨询 CVE-2024-0204是否被利用, 但我们预计,如果这个漏洞尚未受到攻击,它将很快被锁定, 特别是在一个多月前,修复程序就可以进行逆向工程了. Rapid7强烈建议GoAnywhere管辖客户采取紧急行动.
缓解指导
CVE-2024-0204影响以下版本的GoAnywhere管辖:
- Fortra GoAnywhere管辖 6.从6选X.0.1
- Fortra GoAnywhere管辖 7.7点前的X.4.1
GoAnywhere的MFT客户还没有更新到固定版本(7.4.1或更高)应该在紧急情况下这样做,而不必等待常规补丁周期的发生. 组织还应确保管理门户不暴露给公共internet.
根据 供应商咨询,在非容器部署中,也可以通过删除 InitialAccountSetup.xhtml 文件,并重新启动服务. 对于容器部署的实例,将该文件替换为空文件并重新启动. 有关其他信息,请参见 http://my.goanywhere.com/webclient/ViewSecurityAdvisories.xhtml (需要注册).”
如果您无法更新到固定版本,Fortra提供了两种手动缓解途径:
- 删除
InitialAccountSetup.xhtml文件,并重新启动服务. - 取代了
InitialAccountSetup.xhtml使用空文件重新启动服务.
Rapid7客户
InsightVM和expose客户可以使用未经身份验证的漏洞检查(vuln ID: goanywhere - cve - 2024 - 0204)在1月23日美国东部时间下午3:20发布的内容更新中可用.
更新
2024年1月23日: 更新说明该漏洞 似乎已经沟通过了 12月初私下向GoAnywhere管辖客户表示. 更新了缓解指南,以强调不应将管理门户暴露给公共互联网.
2024年1月24日: 更新后,Fortra表示CVE-2024-0204在公开披露时未被利用.
