Xakep #305. Многошаговые SQL-инъекции
В сети появился эксплоит для активно используемой хакерами уязвимости нулевого дня в консоли администрирования GoAnywhere MFT. Компания Fortra, стоящая за разработкой GoAnywhere MFT, была вынуждены выпустить экстренный патч для исправления этого бага.
GoAnywhere MFT — это инструмент для передачи файлов, разработанный с целью помочь организациям безопасно обмениваться файлами с партнерами и вести журналы аудита того, кто получил доступ к общим файлам. За его созданием стоит компания Fortra (ранее известная как HelpSystems), которая также разрабатывает известный и широко используемый инструмент Cobalt Strike, предназначенный для пентестеров и red team, и ориентированный на эксплуатацию и постэксплуатацию.
В конце прошлой недели известный ИБ-журналист Брайан Кребс предупредил у себя в Mastodon, что разработчики Fortra обнаружили RCE-эксплоит и атаки на GoAnywhere MFT, после чего были вынуждены временно отключить свой SaaS-сервис.
При этом официальное сообщение компании гласило, что эксплуатация уязвимости требует доступа к административной консоли, которая в нормальных условиях вообще не должна быть доступна через интернет. Однако Shodan обнаруживает в интернете около 1000 доступных экземпляров GoAnywhere (хотя на портах 8000 и 8001, которые по умолчанию используются уязвимой консолью администратора, замечено только около 140 установок).
В компании сообщали (доступ к бюллетеню возможен только для клиентов с учетной записью), что уязвимость уже используется в атаках. Специалисты Fortra перечислили индикаторы компрометации для потенциально затронутых клиентов, включая конкретную трассировку стека, которая должна отображаться в журналах скомпрометированных систем.
Однако исправления на тот момент еще не было, и разработчики предлагали пользователям другие способы снижения рисков. В частности, бюллетень безопасности содержал следующую инструкцию:
- в файловой системе, где установлен GoAnywhere MFT, отредактировать файл [install_dir]/adminroot/WEB_INF/web.xml;
- найти и удалить (удалить или закомментировать) конфигурацию сервлета и сопоставления сервлетов, как показано на скриншоте ниже;
- перезапустить GoAnywhere MFT.
Всего через пару дней, в минувший понедельник, исследователь Флориан Хаузер (Florian Hauser) из консалтинговой ИБ-компании Code White обнародовал технические детали уязвимости в GoAnywhere MFT и код PoC-эксплоита. По его словам, проблема позволяла осуществить на уязвимых серверах GoAnywhere MFT удаленное выполнение кода без аутентификации.
Сегодня, 7 февраля 2023 года, Fortra наконец выпустила экстренный патч для этой 0-day уязвимости (7.1.2) и призвала всех клиентов установить его как можно скорее. В компании подчеркнули, что особенно срочной установкой исправления должны озаботиться «клиенты, использующие портал администрирования, доступный через интернет».