“Se ha revelado una vulnerabilidad crítica en el software GoAnywhere Managed File Transfer (MFT) de Fortra que podría ser explotada para crear un nuevo usuario administrador.
Identificado como CVE-2024-0204, el problema cuenta con una puntuación CVSS de 9,8 sobre 10.
“La omisión de autenticación en GoAnywhere MFT de Fortra antes de la versión 7.4.1 permite a un usuario no autorizado crear un usuario administrador a través del portal de administración”, comunicó Fortra en un aviso emitido el 22 de enero de 2024. Los usuarios que no puedan actualizar a la versión 7.4.1 tienen la opción de aplicar soluciones temporales en implementaciones que no sean de contenedores eliminando el archivo InitialAccountSetup.xhtml en el directorio de instalación y reiniciando los servicios.
Para las instancias implementadas en contenedores, se sugiere reemplazar el archivo con un archivo vacío y reiniciar.
El descubrimiento y el informe de la falla, en diciembre de 2023, son atribuidos a Mohammed Eldeeb e Islam Elrfai, de Spark Engineering Consultants con sede en El Cairo.
Horizon3.ai, una empresa de ciberseguridad, publicó una prueba de concepto (PoC) para CVE-2024-0204, indicando que el problema resulta de una debilidad en el recorrido de la ruta en el punto final “/InitialAccountSetup.xhtml”, susceptible de ser explotada para la creación de usuarios administrativos.
“El indicador más sencillo de compromiso que puede analizarse es cualquier nueva incorporación al grupo de Usuarios administradores en la sección Usuarios del portal de administrador de GoAnywhere -> Usuarios administradores”, señaló el investigador de seguridad de Horizon3.ai, Zach Hanley.”
Si el atacante ha dejado a este usuario aquí, es posible que pueda observar su última actividad de inicio de sesión para calcular una fecha aproximada del compromiso”.
Aunque no hay evidencia de una explotación activa de CVE-2024-0204 en la naturaleza, el grupo de ransomware Cl0p ha abusado de otra vulnerabilidad en el mismo producto (CVE-2023-0669, puntuación CVSS: 7.2) para comprometer a casi 130 víctimas el año pasado.