利用GoAnywhere管辖零日漏洞

最后更新于2023年5月4日星期四23:22:46 GMT

紧急威胁发展迅速. 随着我们对这个漏洞的了解越来越多, 我们将更新这篇博客文章，提供有关技术发现的相关信息, 产品覆盖, 以及其他可以帮助你评估和缓解的信息.

2023年2月2日，周四，安全记者布莱恩·克雷布斯 发布警告 关于一个被积极利用的零日漏洞影响了Fortra的内部实例 GoAnywhere管辖 托管文件传输解决方案. Fortra (formerly HelpSystems) evidently published an advisory on February 1 behind authentication; there is no publicly accessible advisory.

CVE-2023-0669已被分配给此漏洞.

Rapid7发布了CVE-2023-0669的技术分析 AttackerKB

更新:Fortra发布了一个补丁(7.1.2) 2023年2月7日，以解决这个被积极利用的漏洞.

根据建议, 克雷布斯在他的乳齿象帖子里直接引用了什么, 该漏洞是一个远程代码注入缺陷，需要管理控制台访问才能成功利用. Fortra说Web客户端界面本身是不可利用的. 而管理控制台和管理接口在理想情况下不应该暴露在internet上, 安全研究员凯文·博蒙特在回复克雷布斯关于乳齿象的帖子时指出，似乎有 相当多的系统 (1000 +)向公共Internet公开管理端口.

Krebs引用的Fortra咨询建议GoAnywhere管辖客户审查所有管理用户并监视未识别的用户名, 尤其是那些由 系统. 合乎逻辑的推论是，Fortra很可能会看到后续攻击者的行为，包括创建新的管理或其他用户来接管或维护易受攻击的目标系统上的持久性.

请注意,, 而在粘贴的Fortra咨询文本中没有明确提到这一点, 威胁参与者也有可能通过以重用为目标来获得管理访问权限, 弱, 或者默认凭证.

缓解指导

虽然Fortra发布了一个缓解措施，但没有提到补丁. GoAnywhere管辖客户可以 登录客户门户 获取福特拉的直接通讯.

以下缓解信息摘自克雷布斯转发的Fortra关于乳齿象的咨询, 但 尚未得到证实 我们的研究团队:

在安装了GoAnywhere管辖的文件系统上，编辑该文件 [install_dir] / 管理root / WEB_INF /网络.xml.

在下面的屏幕截图中找到并删除(删除或注释掉)以下servlet和servlet映射配置.

之前:

     License 响应 Servlet
     com.linoma.ga.ui.管理.servlet.License响应Servlet
     0


     Licenses 响应 Servlet
     /lic/accept/

后:

重新启动GoAnywhere管辖应用程序. 如果GoAnywhere管辖是集群的，则需要在集群中的每个实例节点上进行此更改.

Rapid7客户

2月3日, 2023年发布的InsightVM和expose将支持客户使用以下查询来识别其环境中可能受影响的GoAnywhere管辖实例:
资产.软件。.product =“文件传输管理”.

远程(未经身份验证) 漏洞检查 将于2023年2月6日发布.

更新

2023年2月7日20:40 UTC

• CVE-2023-0669已被分配给此漏洞.
• Rapid7发布了CVE-2023-0669的技术分析 AttackerKB

2023年2月8日15:15 UTC

• 7 . Fortra发布了一个补丁.1.2) 2023年2月7日，以解决这个被积极利用的漏洞.