CVE-2024-0204 (CVSS 9.8): Critical Authentication Bypass Flaw in GoAnywhere MFT
2024/01/22 SecurityOnline — GoAnywhere MFT はセキュアな MFT (Managed File Transfer) ソリューションであり、ファイル転送の自動化/一元化/セキュア化を支援するものだ。それにより、各種のシステム間でのデータ移動の手間を省く、ソフトウェア・プラットフォームとして活用されている。GoAnywhere MFT は、ファイル転送の安全性と効率的な管理を必要とする組織にとって、強力で多用途なソリューションである。このファイル転送ソリューションの開発者からの警告により、本質的に認証をバイパスする、深刻な脆弱性が明らかになっている。
脆弱性 CVE-2024-0204 (CVSS:9.8) は、Fortra の GoAnywhere MFT バージョン 7.4.1 以前に存在する、認証バイパスの欠陥だと説明されている。この脆弱性の悪用に成功した不正ユーザーは、管理ポータルを通じて管理者になりすますことが可能になるという。
GoAnywhere のセキュリティ・アドバイザリには、「Fortra の GoAnywhere MFT 7.4.1 以前における認証バイパスにより、権限のないユーザーが管理ポータルを通じて、管理者ユーザーを作成することが可能になる」と警告している。
この欠陥を報告した Spark Engineering Consultants のセキュリティ研究者 Mohammed Eldeeb と Islam Elrfai の功績は大きい。
脆弱性 CVE-2024-0204 は、以下のバージョンに影響する:
- Fortra GoAnywhere MFT 6.0.1 以降のバージョン 6.x
- Fortra GoAnywhere MFT 7.4.1 以降のバージョン 7.x
この深刻な脆弱性に対応するために、バージョン 7.4.1 以上への即時アップグレードという改善策が示されている。
コンテナ以外のデプロイメントで推奨されるのは、追加の防御策として、インストール・ディレクトリの InitialAccountSetup.xhtml ファイルを削除し、その後にサービスを再起動することだ。コンテナ・デプロイメントのインスタンスでは、このファイルを空のファイルに置き換えてサービスを再起動することで、リスクを軽減できるという。GoAnywhere の専用セキュリティ・アドバイザリ・ページから、さらなるガイダンスと詳細にアクセスできる(登録が必要である)。
Update: 1月24日に、あるセキュリティ研究者が、Fortra GoAnywhere MFT の脆弱性CVE-2024-0204 に対する、PoC コードを公開した。
2023年は、MOVEit に代表される MFT (Managed File Transfer) への攻撃が目立った年でした。そして、この年の初頭には、GoAnywhere も巧撃の対象となり、Hitachi Energy や Procter & Gamble などの大手企業も被害を受けていました。よろしければ、GoAnywhere で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.