GoAnywhere の CVE-2024-0204：Horizon3 が詳述する PoC エクスプロイトとは？

PoC Code Published for Just-Disclosed Fortra GoAnywhere Vulnerability

2024/01/24 SecurityWeek — Fortra の GoAnywhere MFT に存在する深刻な脆弱性を標的とする PoC コードが、ベンダー・アドバイザリの翌日に公開された。この認証バイパスの脆弱性 CVE-2024-0204 (CVSS：9.8) の悪用に成功した、認証されていない攻撃者が得るのは、管理ポータルを介してアプリケーションの管理者ユーザーを作成する可能性である。

この脆弱性は、GoAnywhere MFT バージョン 6.x ／7.x に影響を及ぼすものであり、2023 年 12 月初旬に特定／報告されている。その際に、Fortra は内部セキュリティ・アドバイザリを通じて顧客に警告を発している。そして、そのコピーが、発見者である Mohammed Eldeeb により、 X で共有された。

Fortra は、このバグに対するパッチを 12月7日にリリースし、1月22日にはアドバイザリを発表している。顧客に対して推奨されているのは、GoAnywhere MFT インスタンスをバージョン 7.4.1 以上にアップデートすることだ。

Fortra のアドバイザリには、「コンテナ以外のデプロイメントでは、インストール・ディレクトリの InitialAccountSetup.xhtml ファイルを削除し、サービスを再起動することで、この脆弱性を解消できる可能性もある。しかし、コンテナでデプロイされたインスタンスの場合は、このファイルを空のファイルに置き換えて再起動する必要がある」と記されている。

アドバイザリが公開された翌日の 1月23日には、侵入テスト会社の Horizon3.ai が、このバグの根本原因に関する技術レポートを公開し、PoC コードの利用可能性について発表している。

同社によると、この脆弱性は Tomcat ベースのアプリケーションで散見される、パス・トラバーサル問題に起因しているようだ。

Horizon3.ai の具体的な指摘は、GoAnywhere MFT のインストール時に、ユーザーは管理者ユーザーを作成するように求められるが、同じエンドポイント “/wizard/InitialAccountSetup.xhtml” へ向けた、それ以降の全てのリクエストはログイン・ページにリダイレクトされるというものだ。

しかし、”/wizard/InitialAccountSetup.xhtml” へのリクエストに “/..;/” が含まれていると、ユーザーは再びセットアップページにルーティングされ、別の管理者ユーザーを作成できるようになる。

Horizon3.ai によると、アプリケーションの管理者ポータルで、管理者ユーザ・グループに新たに追加されたユーザーを探すことで、潜在的な侵入の証拠を発見できるという。

Horizon3.ai は、「そのようなユーザーが、この場所に残されている場合には、そのユーザーの最後のログオン活動を観察することで、大まかな侵害の日付を測定できるかもしれない」と説明している。また、データベースのログを確認すれば、新たなユーザー・アカウントが無許可で作成されたものなのかどうかもわかる。

Fortra は、この脆弱性の悪用については言及していない。しかし、PoC コードが公開されており、また、以前にも GoAnywhere MFT の脆弱性が悪用された歴史があることから、すでに脅威アクターのレーダーには、CVE-2024-0204 が映っている可能性があると思われる。

サイバー・セキュリティ企業 Rapid7 によると、ユーザー組織が確認すべきことは、管理ポータルがインターネットからアクセスできないことにある。GoAnywhere MFT の最新バージョンへと更新できない場合には、利用可能な緩和策をできるだけ早く適用する必要がある。

Rapid7 は、「まだ攻撃を受けていない場合であっても、この修正に対するリバース・エンジニアリングが可能になってから、すでに１か月以上が経っているため、すぐに攻撃が始まると予想される」と指摘している。

GoAnywhere の脆弱性 CVE-2024-0204 ですが、第一報は 2024/01/22 の 「GoAnywhere MFT の脆弱性 CVE-2024-0204 (CVSS 9.8) が FIX：認証バイパス」であり、PoC についても追記されていました。そして、今日の記事では、PoC を提供した Horizon3 からの詳細説明が提供されています。よろしければ、GoAnywhere で検索も、ご利用ください。