CVE-2024-0204 Détection : Vulnérabilité Critique dans Fortra GoAnywhere MFT Provoquant un Contournement de l’Authentification
Table des matières :
Un jour de plus, une autre vulnérabilité critique sur le radar. Cette fois, il s’agit d’une vulnérabilité critique de contournement de l’authentification (CVE-2024-0204) affectant le logiciel GoAnywhere MFT de Fortra, largement utilisé par les entreprises dans le monde entier pour des transferts de fichiers sécurisés. Dans le sillage du néfaste défaut dans le serveur Confluence et le centre de données d’Atlassian, le CVE-2024-0204 pourrait être rapidement ajouté à la boîte à outils des adversaires, aidant les pirates à créer un nouvel utilisateur administrateur à distance via le portail d’administration du produit.
Détecter les Tentatives d’Exploitation de CVE-2024-0204
La détection proactive de l’exploitation des vulnérabilités reste l’un des principaux cas d’utilisation de la cybersécurité en 2024. Pour rester au fait des CVE émergents et identifier à temps les éventuelles cyberattaques contre votre infrastructure, fiez-vous à la plateforme de SOC Prime pour la défense cybernétique collective. Notre Threat Detection Marketplace, qui est le plus grand dépôt mondial d’algorithmes de détection basés sur le comportement, agrège une nouvelle règle visant la détection de l’exploit CVE-2024-0204.
La détection est compatible avec 18 solutions SIEM, EDR, XDR et Data Lake et est mappée à MITRE ATT&CK v14, s’attaquant aux tactiques d’Accès Initial et à l’Exploitation des Applications Exposées (T1190) comme technique principale. De plus, pour faciliter l’enquête sur les menaces, la règle est enrichie de métadonnées étendues, y compris des liens CTI, des références ATT&CK et d’autres détails pertinents.
Pour explorer l’ensemble de la collection de règles de détection organisées adressant l’exploitation des vulnérabilités, appuyez sur le Explore Detections bouton ci-dessous.
La plateforme SOC Prime facilite la découverte et l’analyse des TTPs des adversaires, la détection des zones non couvertes dans la couverture des sources de logs, le traitement des lacunes existantes, la priorisation des procédures de détection et le partage du contexte TTP avec les pairs dans 45 langues de détection SIEM, EDR et Data Lake majeures.
Analyse de CVE-2024-0204
Plus d’une centaine d’organisations mondiales s’appuient sur Fortra GoAnywhere MFT comme solution logicielle pour le transfert de fichiers gérés, simplifiant l’échange de données entre systèmes, employés et clients, ce qui expose ces entreprises à de graves risques en cas de risques de sécurité identifiés, comme les tentatives d’exploitation de vulnérabilités. Fortra a récemment informé les défenseurs d’une nouvelle vulnérabilité de contournement de l’authentification découverte suivie en tant que CVE-2024-0204 affectant les versions de son logiciel GoAnywhere MFT avant la 7.4.1. Le défaut critique a un score CVSS de 9.8 et permet aux attaquants de générer un nouvel utilisateur administrateur via le portail d’administration.
L’établissement de comptes non autorisés avec des privilèges administrateur représente un risque important de prise de contrôle complète du système. S’il est exploité dans GoAnywhere MFT, cela pourrait donner le feu vert aux attaquants pour accéder à des données sensibles, faciliter le déploiement de logiciels malveillants et potentiellement lancer d’autres attaques au sein du réseau compromis.
En tant que mesures possibles d’atténuation du CVE-2024-0204, Fortra recommande de mettre à jour vers la version 7.4.1 ou une version ultérieure du logiciel. Dans les déploiements non-conteneurisés, le bogue de sécurité peut être résolu en supprimant le fichier “InitialAccountSetup.xhtml” du répertoire d’installation et en redémarrant les services. Pour les instances déployées dans des conteneurs, le fichier doit être remplacé par un fichier vide, suivi d’un redémarrage du système.
Avec la montée exponentielle du nombre de CVE et de zero-days affectant les produits logiciels populaires, la détection proactive de l’exploitation des vulnérabilités se classe parmi les besoins de contenu SOC les plus importants. Avec Uncoder AI, les équipes peuvent rationaliser leur routine d’Ingénierie de Détection en écrivant plus rapidement et plus intelligemment du code de détection contre les menaces émergentes en utilisant des modèles de règles automatisés, des capacités de complétion automatique MITRE ATT&CK, des vérifications instantanées de la logique et de la syntaxe des règles, ainsi que traduire des morceaux de contenu en 65 formats linguistiques de technologies SIEM, EDR et Data Lake sur le champ.
