Exploit d’une vulnérabilité critique dans GoAnywhere MFT

Attention, il est temps de mettre à jour Fortra GoAnywhere MFT : un exploit a été développé pour une vulnérabilité critique ; celui-ci permet aux attaquants de contourner l’authentification et de créer des comptes d’administrateur.

Les chercheurs ont analysé la vulnérabilité CVE-2024-0204 dans le logiciel Fortra GoAnywhere MFT (MFT signifiant managed file transfer ou transfert de données géré) et publié le code d’exploit qui en tire avantage. Nous vous expliquons quel est le danger, et ce que devraient faire les organisations qui utilisent ce logiciel à ce sujet.

Vulnérabilité CVE-2024-0204 dans GoAnywhere MFT

Commençons par revenir brièvement sur l’histoire de cette vulnérabilité de GoAnywhere. En fait, Fortra, la société qui développe cette solution, a corrigé cette vulnérabilité au début du mois de décembre 2023 en publiant la version 7.4.1 de GoAnywhere MFT. Cependant, la société avait alors décidé de ne pas divulguer d’informations sur la vulnérabilité, se limitant à l’envoi de recommandations privées aux clients.

La teneur de la vulnérabilité est la suivante : Quand l’utilisateur a terminé la configuration initiale de GoAnywhere, la logique interne du produit bloque l’accès à la page de configuration initiale du compte. Par la suite, si celui-ci tente d’accéder à cette page, il est redirigé soit vers le panneau d’administration (s’il est authentifié en tant qu’administrateur), soit vers la page d’authentification.

Cependant, les chercheurs ont découvert qu’un autre chemin d’accès au fichier InitialAccountSetup.xhtml peut être utilisé, ce dont la logique de redirection ne tient pas compte. Dans ce scénario, GoAnywhere MFT permet à n’importe qui d’accéder à cette page et de créer un nouveau compte d’utilisateur avec des droits d’administrateur.

Pour prouver la faisabilité de l’attaque, les chercheurs ont écrit et publié un court script capable de créer des comptes d’administrateur dans les versions vulnérables de GoAnywhere MFT. Il suffit à un attaquant de spécifier un nouveau nom de compte, un mot de passe (la seule exigence est qu’il contienne au moins huit caractères, ce qui est intéressant en soi) et le chemin d’accès :

Partie du code de l'exploit pour la vulnérabilité CVE-2024-0204 dans Fortra GoAnywhere MFT

Partie du code de l’exploit pour la vulnérabilité CVE-2024-0204. Le chemin alternatif vers la page de configuration initiale du compte, qui permet de créer des utilisateurs avec des privilèges d’administrateur, est surligné en rouge

De manière générale, cette vulnérabilité ressemble fortement à celle découverte dans l’Atlassian Confluence Data Center and Confluence Server il y a quelques mois ; dans ce cas également, il était possible de créer des comptes d’administrateurs en quelques étapes simples.

Fortra a assigné le statut « critique » à la vulnérabilité CVE-2024-0204, avec un score CVSS 3.1 de 9,8 sur 10.

Apportons un peu de contexte. En 2023, le groupe de ransomwares Clop avait déjà exploité des vulnérabilités dans Fortra GoAnywhere MFT ainsi que dans des produits similaires d’autres développeurs (Progress MOVEit, Accellion FTA et SolarWinds Serv-U) pour attaquer des centaines d’organisations dans le monde entier. Des entreprises telles que Procter & Gamble, Community Health Systems (CHS, l’un des plus grands réseaux hospitaliers des États-Unis) et la municipalité de Toronto ont notamment été victimes de l’exploit de la vulnérabilité de GoAnywhere MFT.

Comment se défendre contre l’exploit CVE-2024-0204

La façon la plus efficace de se protéger contre l’exploitation de cette vulnérabilité est de mettre à jour GoAnywhere MFT vers la version 7.4.1 immédiatement. Cette mise à jour corrige la logique de fonctionnement pour refuser l’accès à la page InitialAccountSetup.xhtml.

Si vous ne pouvez pas installer la mise à jour pour une quelconque raison, vous pouvez essayer l’une des deux solutions de contournement simples suivantes :

  • Supprmer le fichier InitialAccountSetup.xhtml du dossier d’installation et redémarrez le service ;

ou

  • Remplacez InitialAccountSetup.xhtml par un fichier vierge et redémarrez le service.

Vous pouvez également utiliser une solution EDR (Endpoint Detection and Response) pour contrôler toute activité suspicieuse sur le réseau d’entreprise. Si votre équipe de cybersécurité interne manque de compétences ou de ressources pour cela, vous pouvez utiliser un [MDR placeholder]service externe[/placeholder] pour recherche continuellement des menaces qui pourraient concerner votre organisation et y répondre rapidement.

Conseils