Une vulnérabilité zero-day affectant l’application de transfert de fichiers géré GoAnywhere MFT de Fortra est activement exploitée dans la nature.
Les détails de la faille ont d’abord été partagés publiquement par le journaliste de sécurité Brian Krebs sur Mastodon. Aucun avis public n’a été publié par Fortra.
La vulnérabilité est un cas d’injection de code à distance qui nécessite un accès à la console d’administration de l’application, ce qui rend impératif que les systèmes ne soient pas exposés à l’Internet public.
Selon le chercheur en sécurité Kevin Beaumont, il existe plus de 1 000 instances sur site accessibles au public sur Internet, dont la majorité sont situées aux États-Unis.
« L’avis Fortra cité par Krebs conseille aux clients de GoAnywhere MFT d’examiner tous les utilisateurs administratifs et de surveiller les noms d’utilisateur non reconnus, en particulier ceux créés par le système », a déclaré Caitlin Condon, chercheur à Rapid7 .
« La déduction logique est que Fortra voit probablement un comportement d’attaquant ultérieur qui inclut la création de nouveaux utilisateurs administratifs ou autres pour prendre le contrôle ou maintenir la persistance sur les systèmes cibles vulnérables. »
Alternativement, la société de cybersécurité a déclaré qu’il était possible pour les acteurs de la menace d’exploiter des informations d’identification réutilisées, faibles ou par défaut pour obtenir un accès administratif à la console.
Aucun correctif n’est actuellement disponible pour la vulnérabilité zero-day, bien que Fortra ait publié des solutions de contournement pour supprimer la configuration « License Response Servlet » du fichier web.xml.
Les vulnérabilités dans les solutions de transfert de fichiers sont devenues des cibles attrayantes pour les acteurs de la menace, avec des failles dans Accellion et FileZen militarisées pour le vol de données et l’extorsion.
