CVE-2024-0204 Erkennung: Kritische Schwachstelle in Fortra GoAnywhere MFT führt zu Authentifizierungsumgehung

[post-views]
Januar 24, 2024 · 3 min zu lesen
CVE-2024-0204 Erkennung: Kritische Schwachstelle in Fortra GoAnywhere MFT führt zu Authentifizierungsumgehung

Ein weiterer Tag, eine weitere kritische Schwachstelle auf dem Radar. Dieses Mal handelt es sich um eine kritische Authentifizierungsumgehung (CVE-2024-0204), die die GoAnywhere MFT-Software von Fortra betrifft, die weltweit von Unternehmen weitgehend für sichere Dateiübertragungszwecke genutzt wird. Kurz nach der berüchtigten Schwachstelle im Atlassian Confluence Server und Data Center, könnte CVE-2024-0204 schnellstmöglich zum Arsenal von Angreifern hinzugefügt werden, um Hackern zu helfen, einen neuen Administrator-Benutzer remote über das Verwaltungsportal des Produkts zu erstellen.

Erkennung von CVE-2024-0204 Ausnutzungsversuchen

Die proaktive Erkennung der Ausnutzung von Schwachstellen bleibt auch 2024 einer der wichtigsten Anwendungsfälle für Cybersicherheit. Um mit aufkommenden CVEs Schritt zu halten und mögliche Cyberangriffe gegen Ihre Infrastruktur rechtzeitig zu identifizieren, verlassen Sie sich auf die Plattform von SOC Prime für kollektive Cyberverteidigung. Unser Threat Detection Marketplace, der als weltweit größtes Verzeichnis von verhaltensbasierten Erkennungsalgorithmen fungiert, sammelt eine neue Regel, die auf die Erkennung von CVE-2024-0204-Exploits abzielt.

Möglicher CVE-2024-0204 (Fortra GoAnywhere MFT Authentifizierungsumgehung) Ausnutzungsversuch (über Webserver)

Die Erkennung ist mit 18 SIEM-, EDR-, XDR- und Data Lake-Lösungen kompatibel und ist auf MITRE ATT&CK v14 abgebildet, wobei Taktiken zum Initialen Zugriff und die Ausnutzung öffentlicher Anwendungen (T1190) als Haupttechniken adressiert werden. Außerdem ist die Regel zur Erleichterung der Bedrohungsanalyse mit umfangreichen Metadaten angereichert, darunter CTI-Links, ATT&CK-Referenzen und andere relevante Details.

Um die gesamte Sammlung kuratierter Erkennungsregeln zur Adressierung der Ausnutzung von Schwachstellen zu erkunden, klicken Sie auf die Erkundung der Erkennungen Schaltfläche unten.

Erkundung der Erkennungen

SOC Prime Plattform ermöglicht es, Angriffs-TTPs einfach zu entdecken und zu analysieren, blinde Flecken in der Protokollquellenabdeckung zu finden, vorhandene Lücken zu adressieren, Erkennungsverfahren zu priorisieren und den TTP-Kontext mit Kollegen in 45 wichtigen SIEM-, EDR- und Data-Lake-Erkennungssprachen zu teilen.

CVE-2024-0204 Analyse

Über hundert globale Organisationen verlassen sich auf Fortras GoAnywhere MFT als Softwarelösung für das verwaltete Dateiübertragung, die den Datenaustausch zwischen Systemen, Mitarbeitern und Kunden vereinfacht, was diese Unternehmen bei identifizierten Sicherheitsrisiken, wie Ausnutzungsversuchen von Schwachstellen, erheblichen Risiken aussetzt. Fortra hat Verteidiger kürzlich über eine neu entdeckte Authentifizierungsumgehungsschwachstelle benachrichtigt, die als CVE-2024-0204 verfolgt wird und ihre GoAnywhere MFT-Softwareversionen vor 7.4.1 betrifft. Die kritische Schwachstelle hat eine CVSS-Bewertung von 9,8 und ermöglicht es Angreifern, über das Verwaltungsportal einen neuen Admin-Benutzer zu generieren.

Die Einrichtung nicht autorisierter Konten mit Administratorrechten stellt ein erhebliches Risiko einer vollständigen Übernahme des Systems dar. Wird dies in GoAnywhere MFT ausgenutzt, könnten Angreifer die Möglichkeit erhalten, auf sensible Daten zuzugreifen, Malware zu verteilen und möglicherweise weitere Angriffe innerhalb des kompromittierten Netzwerks zu starten.

Als potenzielle CVE-2024-0204 Eindämmungsmaßnahmen empfiehlt Fortra ein Upgrade auf Softwareversion 7.4.1 oder eine spätere. Bei nicht-containerisierten Bereitstellungen kann der Sicherheitsfehler behoben werden, indem die Datei „InitialAccountSetup.xhtml“ aus dem Installationsverzeichnis entfernt und die Dienste neu gestartet werden. Bei in Containern bereitgestellten Instanzen sollte die Datei durch eine leere Datei ersetzt werden, gefolgt von einem Systemneustart.

Mit dem exponentiellen Anstieg der CVEs und Zero-Days, die beliebte Softwareprodukte betreffen, rangiert die proaktive Erkennung von Schwachstellenausnutzungen unter den führenden Positionen unter den Anforderungen an SOC-Inhalte. Mit Uncoder AIkönnen Teams ihre Detection Engineering-Routine optimieren, indem sie Erkennungscode gegen neue Bedrohungen schneller und intelligenter mit automatisierten Regelvorlagen, MITRE ATT&CK-Autovervollständigungsfunktionen, sofortigen Regel-Logik- und Syntaxprüfungen sowie mit der Möglichkeit, Inhalte in 65 Sprachformate mehrerer SIEM-, EDR- und Data-Lake-Technologien on-the-fly zu übersetzen, schreiben.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge