Fortra GoAnywhere MFT软件安全漏洞分析

关键要点

Fortra的GoAnywhere MFT文件传输软件存在漏洞，尽管有潜在风险，但目前并未发生“主动利用”的情况。Shadowserver研究人员发现，基于公开的PoC代码，已有120多个IP地址受到了利用，但大多数管理门户已经修补，成功的可能性较低。此漏洞的CVSSv3评分为98，允许黑客通过管理门户远程创建新管理员用户。Fortra已于1月22日发布了相应的补丁，并建议安全团队立即进行更新。

当前关于Fortra的GoAnywhere MFT文件传输软件的漏洞引起了广泛关注，虽然威胁行为者可能会利用公开的PoC代码开发攻击代码，但截至周四下午，这一漏洞并未被广泛“主动利用”。

在1月25日的一篇推文中，Shadowserver的研究人员表示，基于公开的PoC，他们发现已有超过120个IP地址受到了攻击。然而，研究人员指出，由于曝光的管理门户仅有50个且大多数已被修补，攻击者大规模成功的可能性不高。

根据SC Media 1月24日的报道，这一漏洞被追踪为CVE20240204，其CVSSv3评分为98，可能让黑客通过软件的管理门户远程创建新管理员用户。

该漏洞在Clop勒索软件团伙利用GoAnywhere MFT零日漏洞攻击超过130个组织后曝光。

Fortra于1月22日发布修补程序，并建议安全团队立即进行修补。在周四接受SC Media采访时，Fortra表示，他们在12月4日通知了客户，并在12月7日发布了修补程序。

“这个漏洞尤其危险，因为它允许未经授权的用户完全绕过身份验证措施，并通过远程创建具有提升权限的新管理员账户，”Syxsense的首席执行官Ashley Leonard解释道。“所有这些因素结合在一起，使得该CVE变得至关重要。”

Fortra GoAnywhere MFT漏洞未被CISA列入KEV目录

Leonard表示，迄今为止，这一漏洞尚未被主动利用，这可能是网络安全和基础设施安全局CISA尚未将其添加到已知主动利用漏洞KEV目录中的原因之一。

天行加速器安卓版

根据CISA的指导，早前Horizon3ai发布的PoC并不构成“主动利用”。Leonard解释说，CISA认为“主动利用”是指“当显然攻击者的意图是成功利用并且攻击在‘实时’或‘野外’发生时”。

然而，Leonard强调，勒索软件团伙过去曾利用文件传输软件作为其策略的一部分。例如，Leonard提到，REvil曾被知晓使用GoAnywhere MFT在多个组织中部署恶意软件并窃取敏感数据。

“虽然REvil不再是一个活跃的威胁，但他们的策略仍然存在，且该团伙的许多成员仍在网络空间中徘徊，”Leonard表示。“LockBit是另一个使用文件传输软件的网络犯罪组织。尽管他们过去没有利用GoAnywhere MFT，但他们也以快速采用新漏洞的利用而闻名。在修补程序公开后，我们建议所有使用该软件的组织立即进行修补。”

Critical Start的网络威胁研究高级经理Callie Guenther补充说，Fortra GoAnywhere MFT漏洞相对容易被利用。Guenther表示，研究人员将其描述为“1998风格”的路径遍历漏洞，这意味着即使是技术能力中等的攻击者也能进行利用。

考虑到PoC的可得性和利用的简易性，Guenther预测，威胁行为者可能会开始扫描易受攻击的GoAnywhere MFT实例并利用该漏洞。

至于CISA的警告，尽管当前看来这一漏洞不太可能进入