Detección de CVE-2024-0204: Vulnerabilidad Crítica en Fortra GoAnywhere MFT que Resulta en la Omisión de Autenticación
Tabla de contenidos:
Otro día, otra vulnerabilidad crítica en el radar. Esta vez, es un bypass de autenticación crítico (CVE-2024-0204) que afecta al software GoAnywhere MFT de Fortra, el cual es utilizado en gran medida por empresas a nivel global para transferencias seguras de archivos. Siguiendo los pasos del nefasto fallo en el Confluence Server y Data Center de Atlassian, el CVE-2024-0204 puede ser rápidamente añadido al kit de herramientas del adversario, ayudando a los hackers a crear un nuevo usuario administrador de forma remota a través del portal de administración del producto.
Detectar Intentos de Explotación del CVE-2024-0204
La detección proactiva de la explotación de vulnerabilidades sigue siendo uno de los principales casos de uso en ciberseguridad en 2024. Para mantenerse al tanto de los CVE emergentes e identificar posibles ciberataques contra su infraestructura a tiempo, confíe en la Plataforma de SOC Prime para la defensa cibernética colectiva. Nuestro Marketplace de Detección de Amenazas, actuando como el repositorio más grande del mundo de algoritmos de detección basados en comportamiento, agrega una nueva regla destinada a la detección de la explotación del CVE-2024-0204.
La detección es compatible con 18 soluciones SIEM, EDR, XDR, y Data Lake y está mapeada a la versión 14 de MITRE ATT&CK, abordando las tácticas de Acceso Inicial y Exploit Public-Facing Applications (T1190) como técnica principal. Además, para facilitar la investigación de amenazas, la regla está enriquecida con información extensa, incluyendo enlaces CTI, referencias ATT&CK, y otros detalles relevantes.
Para explorar la colección completa de reglas de detección curadas que abordan la explotación de vulnerabilidades, haga clic en Explorar Detecciones botón abajo.
La Plataforma SOC Prime facilita el descubrimiento y análisis de las TTP de los adversarios, encontrar puntos ciegos en la cobertura de fuentes de registros, abordar brechas existentes, priorizar procedimientos de detección, y compartir el contexto de las TTP con colegas en 45 idiomas principales de detección de SIEM, EDR, y Data Lake.
Análisis del CVE-2024-0204
Más de un centenar de organizaciones globales confían en Fortra GoAnywhere MFT como solución de software para transferencias de archivos gestionados, simplificando el intercambio de datos entre sistemas, empleados y clientes, lo que expone a estas empresas a riesgos severos en caso de que se identifiquen riesgos de seguridad, como intentos de explotación de vulnerabilidades. Recientemente, Fortra ha notificado a los defensores sobre una vulnerabilidad de bypass de autenticación recién descubierta rastreada como CVE-2024-0204 que afecta a sus versiones de software GoAnywhere MFT anteriores a la 7.4.1. La falla crítica tiene una puntuación CVSS de 9.8 y permite a los atacantes generar un nuevo usuario administrador a través del portal de administración.
Establecer cuentas no autorizadas con privilegios de administrador supone un riesgo significativo de adquisición completa del sistema. Si se explota en GoAnywhere MFT, esto podría dar luz verde a los atacantes para acceder a datos sensibles, facilitar el despliegue de malware, y potencialmente lanzar ataques adicionales dentro de la red comprometida.
Como medidas potenciales de mitigación del CVE-2024-0204, Fortra recomienda actualizar a una versión de software 7.4.1 o posterior. En implementaciones no basadas en contenedores, el fallo de seguridad puede abordarse eliminando el archivo “InitialAccountSetup.xhtml” del directorio de instalación y reiniciando los servicios. Para instancias desplegadas en contenedores, el archivo debe reemplazarse por un archivo vacío, seguido de un reinicio del sistema.
Con el aumento exponencial en los volúmenes de CVEs y zero-days que afectan a productos de software populares, la detección proactiva de la explotación de vulnerabilidades ocupa uno de los primeros lugares entre las necesidades de contenido de los SOC. Con Uncoder AI, los equipos pueden optimizar su rutina de Ingeniería de Detección escribiendo código de detección contra amenazas emergentes de manera más rápida e inteligente, utilizando plantillas de reglas automáticas, capacidades de autocompletado de MITRE ATT&CK, verificaciones instantáneas de lógica y sintaxis de reglas, así como traducir piezas de contenido en 65 formatos de idiomas de múltiples tecnologías SIEM, EDR y Data Lake al instante.
