Fortra GoAnywhere MFT: Kritische LĂĽcke macht Angreifer zu Admins
Jetzt patchen! Es ist Exploitcode für die Dateiübertragungslösung Fortra GoAnywhere MFT in Umlauf.
Es können Attacken auf eine "kritische" Sicherheitslücke in GoAnywhere MFT von Fortra bevorstehen. Nutzen Angreifer die Lücke erfolgreich aus, können sie sich zum Admin machen. Ein Sicherheitsupdate steht zum Download bereit.
GoAnywhere MFT: Jetzt patchen!
Weltweit nutzen Unternehmen GoAnywhere Managed File Transfer (MFT) zum verschlĂĽsselten Austausch von Dateien. Wie aus einer Warnmeldung hervorgeht, betrifft die Schwachstelle (CVE-2024-0204) GoAnywhere MFT ab Version 6.0.1. Auch der Versionsstrang 7.x ist bedroht. Die Entwickler versichern, die LĂĽcke ab der Ausgabe 7.4.1 geschlossen zu haben.
Wenn Admins das Sicherheitsupdate nicht direkt installieren können, gibt es eine Übergangslösung zum Absichern von Systemen. Bei Installationen ohne Container müssen sie die Datei InitialAccountSetup.xhtml
im Installationsverzeichnis löschen und die Dienste neu starten. In Containerumgebungen müssen Admins die Datei durch eine leere Datei ersetzen und die Dienste neu starten.
Admin-Attacke
Nach erfolgreichen Angriffen sollen Angreifer als Admin dastehen. In dieser Position können sie von Unternehmen geteilte sensible Dateien einsehen und Systeme kompromittieren. Wie Sicherheitsforscher von Horizon3 in einem Bericht ausführen, sollen Angriffe sogar ohne vorherige Authentifizierung möglich sein.
Im Zuge einer Path-Traversal-Attacke können Angreifer über die fehlerhafte InitialAccountSetup.xhtml
-Datei den initialen Account-Setup-Bildschirm aufrufen und so einen Admin-Account erstellen. Eigentlich sollte dieser Bildschirm nach der Einrichtung des Servers nicht mehr aufrufbar sein.
Administratoren sollten als möglichen Hinweis auf Einbrüche die registrierten Accounts auf unbekannte Admin-Konten prüfen. Da die Sicherheitsforscher Exploitcode und technische Details zur Lücke veröffentlicht haben, können Attacken unmittelbar bevorstehen.
Zuletzt sorgte GoAnywhere MFT im März 2023 im Kontext von Ransomware-Attacken für Schlagzeilen.
(des)