Una nueva vulnerabilidad ha emergido, atrayendo la atención de profesionales y empresas por igual. Se trata del CVE-2024-0204, un fallo crítico de bypass de autenticación en GoAnywhere MFT (Managed File Transfer), que podría abrir la puerta a ataques de ransomware.
Se ha descubierto una vulnerabilidad crítica en el software GoAnywhere MFT (Managed File Transfer) que plantea un grave riesgo de seguridad. Esta omisión de autenticación permite a los atacantes establecer un nuevo usuario administrador después de una explotación exitosa, lo que podría dar lugar a acciones maliciosas adicionales. GoAnywhere MFT es una solución de transferencia de archivos gestionada segura ampliamente utilizada a nivel mundial. Facilita el intercambio seguro de datos entre sistemas, empleados, clientes y socios comerciales.
Esta vulnerabilidad, que tiene una puntuación CVSS de 9,8, podría permitir a un atacante remoto no autorizado crear usuarios con privilegios de administrador a través del portal de administración del producto. Esto conlleva graves consecuencias, como acceso no autorizado a datos confidenciales, posibles infecciones de malware y la toma completa del dispositivo.
El problema fue descubierto el 1 de diciembre de 2023 y Fortra respondió rápidamente, lanzando la versión 7.4.1 de GoAnywhere MFT el 7 de diciembre para solucionar la vulnerabilidad. Aunque se notificó a los clientes de manera privada poco después de su descubrimiento, se emitió recientemente un aviso de seguridad público con información limitada.
Las versiones afectadas por esta vulnerabilidad incluyen:
- Fortra GoAnywhere MFT 6.x desde la versión 6.0.1.
- Fortra GoAnywhere MFT 7.4.0 y versiones anteriores.
Hasta el momento, no se han registrado casos de explotación activa de CVE-2024-0204 en entornos no controlados.
Te podrá interesar leer: Identificando vulnerabilidades: El poder de las CVE
GoAnywhere MFT de Fortra, una solución global de transferencia de archivos empresariales, naturalmente atrae la atención de los actores de amenazas. En el pasado, este software sufrió una vulnerabilidad importante, conocida como CVE-2023-0669, que fue aprovechada por el infame Cl0p Ransomware.
La explotación exitosa de CVE-2023-0669 permitió a los actores maliciosos ejecutar código de forma remota (RCE), aunque solo si tenían acceso a la consola administrativa de la aplicación.
Además de Cl0p, otras agrupaciones de ransomware como LockBit y BlackCat (ALPHV) aprovecharon la vulnerabilidad de GoAnywhere MFT RCE, lo que resultó en un aumento del 91% en los ataques de ransomware en un solo mes.
GoAnywhere MFT no es el único objetivo de tales amenazas; MOVEit Transfer de Progress Software, otro software de transferencia de archivos, también fue atacado por el grupo de ransomware Cl0p en 2023, afectando a miles de organizaciones y amenazando con la divulgación de datos.
La preocupación actual gira en torno a CVE-2024-0204, una vulnerabilidad crítica de omisión de autenticación, y su potencial para seguir los pasos de CVE-2023-0669. Aunque no se han reportado explotaciones activas hasta el momento, dada la historia de su predecesor y los ataques previos a productos de transferencia de archivos, existe una amenaza inminente contra la cual las organizaciones deben tomar medidas proactivas para defenderse.
Conoce más sobre: FBI Desmantela la Operación Ransomware BlackCat
Fortra recomienda enfáticamente a los usuarios proteger sus sistemas contra posibles explotaciones de CVE-2024-0204 actualizando GoAnywhere MFT a la versión 7.4.1 o posterior. Además, el aviso proporciona métodos manuales alternativos para eliminar la vulnerabilidad.
Para implementaciones que no sean en contenedores, Fortra sugiere la eliminación del archivo "InitialAccountSetup.xhtml" en el directorio de instalación y reiniciar los servicios como medida para mitigar la vulnerabilidad. En casos en los que GoAnywhere MFT esté implementado en contenedores, Fortra recomienda reemplazar el archivo con una versión vacía y luego reiniciar para solucionar el problema de manera efectiva.
Podría interesarte leer: ¿Tu software está al día?: Importancia de los Parches
La vulnerabilidad CVE-2024-0204 es un bypass de autenticación crítica en el software GoAnywhere MFT, que permite a un atacante remoto no autorizado crear usuarios con privilegios de administrador a través del portal de administración del producto. Esto puede tener consecuencias graves para la seguridad de los datos y la infraestructura de las organizaciones que utilizan este software, ya que el atacante puede acceder a información sensible, ejecutar comandos arbitrarios, instalar o ejecutar malware, etc.
Para protegerse de esta vulnerabilidad, los usuarios de GoAnywhere MFT deben actualizar el software a la versión 7.4.1 o superior, que soluciona el fallo de autenticación. Además, deben tomar otras medidas de seguridad, como monitorizar el tráfico de red, restringir el acceso al portal de administración, cambiar el puerto del servidor web, utilizar contraseñas fuertes y únicas, y realizar copias de seguridad de los archivos y de la configuración del producto.