La reciente publicación de un código de explotación de prueba de concepto (PoC) para la vulnerabilidad crítica CVE-2024-0204 en la solución GoAnywhere MFT de Fortra ha generado preocupaciones sobre posibles ataques inminentes. Esta vulnerabilidad, que permite eludir la autenticación y crear un usuario administrador no autorizado, afecta a versiones específicas de la popular solución de transferencia de archivos gestionada de forma web. En este artículo, analizaremos los detalles de CVE-2024-0204, las acciones tomadas por Fortra, y las medidas recomendadas para proteger las instalaciones afectadas.
Detalles de la Vulnerabilidad (CVE-2024-0204):
CVE-2024-0204 es una vulnerabilidad de elusión de autenticación que posibilita a usuarios no autorizados la creación de un usuario administrador a través del portal de administración de la solución GoAnywhere MFT. Afecta a las versiones 6.x desde 6.0.1 y a las versiones 7.x anteriores a 7.4.1. Fortra abordó esta vulnerabilidad con el lanzamiento de la versión 7.4.1 el 7 de diciembre de 2023.
En 2023, el grupo de ransomware Cl0P explotó con éxito una vulnerabilidad zero-day (CVE-2023-0669) en GoAnywhere MFT, comprometiendo datos de más de 130 organizaciones. Esta situación subraya la importancia de abordar rápidamente las vulnerabilidades en soluciones críticas como esta.
Acciones tomadas por Fortra:
Fortra recibió el informe privado de la vulnerabilidad en diciembre de 2023 y emitió una advertencia anticipada a sus clientes con instrucciones para remediarla. La compañía lanzó la versión 7.4.1 para corregir el problema y proporcionó detalles sobre cómo los clientes pueden actualizar sus instalaciones auto hospedadas o eliminar la vulnerabilidad mediante la eliminación de archivos específicos.
Disponibilidad de PoC y Riesgos Potenciales:
Investigadores de Horizon3.ai publicaron un análisis técnico detallado y un script de PoC que explota CVE-2024-0204 para agregar un usuario administrador a una instalación vulnerable de Fortra GoAnywhere MFT. A pesar de que Fortra no ha informado sobre la explotación en la naturaleza, la facilidad de explotación y la disponibilidad pública del PoC aumentan el riesgo de posibles ataques, según advierten expertos en ciberseguridad.
Recomendaciones de seguridad:
Fortra insta a los usuarios a actualizar a la versión 7.4.1 o superior para eliminar la vulnerabilidad. También proporciona alternativas para eliminar la amenaza en instalaciones no contenerizadas. Dada la gravedad de la vulnerabilidad, se aconseja a las organizaciones afectadas seguir las recomendaciones de seguridad y tomar medidas preventivas adicionales, como restringir el acceso a los portales de administración desde la red pública.
La amenaza potencial derivada de la vulnerabilidad CVE-2024-0204 en Fortra’s GoAnywhere MFT destaca la importancia de una respuesta rápida y proactiva a las vulnerabilidades críticas en entornos empresariales. La colaboración entre proveedores y usuarios es esencial para garantizar la seguridad de las soluciones fundamentales y proteger la integridad de los datos empresariales.