{"id":22178,"date":"2024-01-30T16:51:27","date_gmt":"2024-01-30T19:51:27","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22178"},"modified":"2024-01-30T16:51:27","modified_gmt":"2024-01-30T19:51:27","slug":"exploit-authentication-bypass-vulnerability-goanywhere-mft","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/exploit-authentication-bypass-vulnerability-goanywhere-mft\/22178\/","title":{"rendered":"Vulnerabilidade cr\u00edtica permite explora\u00e7\u00e3o em servi\u00e7o de transfer\u00eancia gerenciada de arquivos GoAnywhere"},"content":{"rendered":"

Pesquisadores analisaram<\/a> a vulnerabilidade CVE-2024-0204 no software F<\/em>ortra GoAnywhere<\/em> MFT (sigla que significa transfer\u00eancia gerenciada de arquivos, na abrevia\u00e7\u00e3o do termo em ingl\u00eas) e publicaram sobre o vetor de ataque que se aproveita de tal falha. Explicamos os perigos e o que as organiza\u00e7\u00f5es que usam este software devem fazer a respeito.<\/p>\n

Vulnerabilidade CVE-2024-0204 no servi\u00e7o GoAnywhere MFT<\/h2>\n

Vamos come\u00e7ar contando brevemente a hist\u00f3ria dessa vulnerabilidade no GoAnywhere. Na verdade, a Fortra, a empresa que desenvolve esta solu\u00e7\u00e3o, corrigiu esta vulnerabilidade no in\u00edcio de dezembro de 2023 com o lan\u00e7amento da vers\u00e3o 7.4.1 do GoAnywhere MFT. Por\u00e9m, naquele momento, a empresa optou por n\u00e3o divulgar nenhuma informa\u00e7\u00e3o sobre a vulnerabilidade, limitando-se a enviar recomenda\u00e7\u00f5es privadas aos clientes.<\/p>\n

A ess\u00eancia da vulnerabilidade \u00e9 a seguinte: ap\u00f3s um usu\u00e1rio concluir a configura\u00e7\u00e3o inicial do GoAnywhere, a l\u00f3gica interna do produto bloqueia o acesso \u00e0 p\u00e1gina inicial de configura\u00e7\u00e3o da conta. Ent\u00e3o, quando tentarem acessar esta p\u00e1gina, ser\u00e3o redirecionados para o painel de administra\u00e7\u00e3o (se estiverem autenticados como administrador) ou para a p\u00e1gina de autentica\u00e7\u00e3o.<\/p>\n

No entanto, os pesquisadores descobriram que pode haver um caminho alternativo para acessar o arquivo InitialAccountSetup.xhtml, desconsiderando a l\u00f3gica de redirecionamento usual. Neste cen\u00e1rio, o GoAnywhere MFT permite que qualquer pessoa acesse esta p\u00e1gina e crie uma nova conta de usu\u00e1rio com privil\u00e9gios de acesso de administrador.<\/p>\n

Como prova da viabilidade do ataque, os pesquisadores escreveram e publicaram um pequeno script que pode criar contas de administrador em vers\u00f5es vulner\u00e1veis \u200b\u200bdo GoAnywhere MFT. Tudo o que um invasor precisa \u00e9 especificar um novo nome de conta, uma senha (o \u00fanico requisito \u00e9 que contenha pelo menos oito caracteres, o que \u00e9 interessante por si s\u00f3) e o caminho:<\/p>\n

\"Parte<\/a>

Parte do c\u00f3digo de explora\u00e7\u00e3o da vulnerabilidade CVE-2024-0204. Destacado em vermelho est\u00e1 o caminho alternativo para a p\u00e1gina inicial de configura\u00e7\u00e3o da conta, que permite a cria\u00e7\u00e3o de usu\u00e1rios com privil\u00e9gios de administrador<\/p><\/div>\n

De um modo geral, esta vulnerabilidade se assemelha muito \u00e0 descoberta no Atlassian Confluence Data Center e no Confluence Server h\u00e1 alguns meses; l\u00e1 tamb\u00e9m foi poss\u00edvel criar contas com privil\u00e9gios de acesso de administrador por meio de etapas simples.<\/p>\n

A Fortra atribuiu \u00e0 vulnerabilidade CVE-2024-0204<\/a> o status \u201ccr\u00edtico\u201d, com uma pontua\u00e7\u00e3o no CVSS 3.1 de 9,8 em 10.<\/p>\n

Cabe contextualizar a situa\u00e7\u00e3o. Em 2023, o grupo de ransomware Clop j\u00e1 explorou vulnerabilidades no Fortra GoAnywhere MFT e tamb\u00e9m em produtos semelhantes de outros desenvolvedores \u2013 Progress MOVEit<\/a>, Accellion FTA e SolarWinds Serv-U \u2013 para atacar centenas de organiza\u00e7\u00f5es em todo o mundo. Em particular, empresas como a Procter & Gamble, Community Health Systems (CHS, uma das maiores redes hospitalares dos EUA) e o munic\u00edpio de Toronto sofreram com a explora\u00e7\u00e3o da vulnerabilidade GoAnywhere MFT.<\/p>\n

Como se proteger contra a explora\u00e7\u00e3o da CVE-2024-0204<\/h2>\n

A maneira \u00f3bvia de se proteger contra a explora\u00e7\u00e3o desta vulnerabilidade \u00e9 atualizar imediatamente o GoAnywhere MFT para a vers\u00e3o 7.4.1, o que corrige a fragilidade, negando acesso \u00e0 p\u00e1gina InitialAccountSetup.xhtml.<\/p>\n

Se n\u00e3o conseguir instalar a atualiza\u00e7\u00e3o por algum motivo, voc\u00ea pode tentar uma das duas solu\u00e7\u00f5es alternativas:<\/p>\n