Rilevamento CVE-2024-0204: Vulnerabilità Critica in Fortra GoAnywhere MFT con Risultato di Bypass dell’Autenticazione
Indice:
Un altro giorno, un’altra vulnerabilità critica sul radar. Questa volta, si tratta di un bypass di autenticazione critica (CVE-2024-0204) che colpisce il software GoAnywhere MFT di Fortra, ampiamente utilizzato dalle aziende a livello globale per il trasferimento sicuro di file. Sulle orme della nefasta falla nel Confluence Server e Data Center di Atlassian, CVE-2024-0204 potrebbe essere prontamente aggiunto all’arsenale degli avversari, aiutando gli hacker a creare un nuovo utente amministratore da remoto tramite il portale di amministrazione del prodotto.
Rilevare i Tentativi di Sfruttamento del CVE-2024-0204
Il rilevamento proattivo dello sfruttamento delle vulnerabilità rimane uno dei principali casi d’uso della cybersecurity nel 2024. Per rimanere al passo con i CVE emergenti e identificare possibili attacchi informatici contro la tua infrastruttura in tempo, affidati alla Piattaforma SOC Prime per la difesa cibernetica collettiva. Il nostro Threat Detection Marketplace, che funge da più grande repository mondiale di algoritmi di rilevamento basati sul comportamento, aggrega una nuova regola mirata al rilevamento dello sfruttamento del CVE-2024-0204.
Il rilevamento è compatibile con 18 soluzioni SIEM, EDR, XDR e Data Lake e mappato a MITRE ATT&CK v14, affrontando le tattiche di Accesso Iniziale e Sfruttamento delle Applicazioni Esposte al Pubblico (T1190) come tecnica principale. Inoltre, per facilitare l’indagine sulle minacce, la regola è arricchita con ampi metadati, inclusi link CTI, riferimenti ATT&CK e altri dettagli rilevanti.
Per esplorare l’intera collezione di regole di rilevamento curate che affrontano lo sfruttamento delle vulnerabilità, premi il Esplora Rilevamenti pulsante qui sotto.
La Piattaforma SOC Prime rende facile scoprire e analizzare i TTP degli avversari, trovare punti ciechi nella copertura delle sorgenti di log, affrontare i gap esistenti, prioritizzare le procedure di rilevamento e condividere il contesto dei TTP con colleghi in 45 lingue principali di rilevamento SIEM, EDR e Data Lake.
Analisi del CVE-2024-0204
Oltre un centinaio di organizzazioni globali si affidano a Fortra GoAnywhere MFT come soluzione software per il trasferimento file gestito, semplificando lo scambio di dati tra sistemi, dipendenti e clienti, il che espone queste aziende a rischi gravi in caso di rischi di sicurezza identificati, come tentativi di sfruttamento delle vulnerabilità. Fortra ha recentemente avvisato i difensori di una nuova vulnerabilità di bypass dell’autenticazione scoperta e tracciata come CVE-2024-0204 che colpisce le versioni del suo software GoAnywhere MFT precedenti alla 7.4.1. La falla critica ha un punteggio CVSS di 9.8 e permette agli attaccanti di generare un nuovo utente amministratore tramite il portale di amministrazione.
Stabilire account non autorizzati con privilegi di amministratore comporta un rischio significativo di un controllo completo del sistema. Se sfruttato in GoAnywhere MFT, questo potrebbe dare agli attaccanti il via libera per accedere a dati sensibili, facilitare il dispiegamento di malware, e potenzialmente avviare ulteriori attacchi all’interno della rete compromessa.
Come misure di mitigazione potenziali per CVE-2024-0204, Fortra raccomanda di aggiornare alla versione software 7.4.1 o successiva. Nelle installazioni non-container, il bug di sicurezza può essere risolto rimuovendo il file “InitialAccountSetup.xhtml” dalla directory di installazione e riavviando i servizi. Per le istanze distribuite in container, il file dovrebbe essere sostituito con un file vuoto, seguito da un riavvio del sistema.
Con l’aumento esponenziale nel volume di CVE e zero-day che colpiscono prodotti software popolari, il rilevamento proattivo dello sfruttamento delle vulnerabilità si colloca come una delle prime posizioni tra le esigenze di contenuti SOC. Con Uncoder AI, i team possono semplificare la loro routine di Detection Engineering scrivendo codice di rilevamento contro minacce emergenti in modo più rapido e intelligente utilizzando modelli di regole automatizzati, capacità di completamento automatico MITRE ATT&CK, controlli istantanei della logica e sintassi delle regole, e tradurre frammenti di contenuto in 65 formati linguistici di molteplici tecnologie SIEM, EDR e Data Lake al volo.
