Fortra GoAnywhere MFT: Kritische Lücke macht Angreifer zu Admins

Es können Attacken auf eine "kritische" Sicherheitslücke in GoAnywhere MFT von Fortra bevorstehen. Nutzen Angreifer die Lücke erfolgreich aus, können sie sich zum Admin machen. Ein Sicherheitsupdate steht zum Download bereit.

GoAnywhere MFT: Jetzt patchen!

Weltweit nutzen Unternehmen GoAnywhere Managed File Transfer (MFT) zum verschlüsselten Austausch von Dateien. Wie aus einer Warnmeldung hervorgeht, betrifft die Schwachstelle (CVE-2024-0204) GoAnywhere MFT ab Version 6.0.1. Auch der Versionsstrang 7.x ist bedroht. Die Entwickler versichern, die Lücke ab der Ausgabe 7.4.1 geschlossen zu haben.

Wenn Admins das Sicherheitsupdate nicht direkt installieren können, gibt es eine Übergangslösung zum Absichern von Systemen. Bei Installationen ohne Container müssen sie die Datei InitialAccountSetup.xhtml im Installationsverzeichnis löschen und die Dienste neu starten. In Containerumgebungen müssen Admins die Datei durch eine leere Datei ersetzen und die Dienste neu starten.

Admin-Attacke

Nach erfolgreichen Angriffen sollen Angreifer als Admin dastehen. In dieser Position können sie von Unternehmen geteilte sensible Dateien einsehen und Systeme kompromittieren. Wie Sicherheitsforscher von Horizon3 in einem Bericht ausführen, sollen Angriffe sogar ohne vorherige Authentifizierung möglich sein.

Im Zuge einer Path-Traversal-Attacke können Angreifer über die fehlerhafte InitialAccountSetup.xhtml-Datei den initialen Account-Setup-Bildschirm aufrufen und so einen Admin-Account erstellen. Eigentlich sollte dieser Bildschirm nach der Einrichtung des Servers nicht mehr aufrufbar sein.

Administratoren sollten als möglichen Hinweis auf Einbrüche die registrierten Accounts auf unbekannte Admin-Konten prüfen. Da die Sicherheitsforscher Exploitcode und technische Details zur Lücke veröffentlicht haben, können Attacken unmittelbar bevorstehen.

Zuletzt sorgte GoAnywhere MFT im März 2023 im Kontext von Ransomware-Attacken für Schlagzeilen.

(des)