Detecção CVE-2024-0204: Vulnerabilidade Crítica no Fortra GoAnywhere MFT Resultando em Bypass de Autenticação
Índice:
Outro dia, outra vulnerabilidade crítica no radar. Desta vez, é uma falha crítica de autenticação (CVE-2024-0204) que afeta o software GoAnywhere MFT da Fortra, amplamente usado por empresas globalmente para fins de transferência segura de arquivos. Logo após a nefasta falha no Atlassian’s Confluence Server e Data Center, a CVE-2024-0204 pode ser prontamente adicionada ao kit de ferramentas dos adversários, ajudando hackers a criar um novo usuário administrador remotamente através do portal de administração do produto.
Detectar Tentativas de Exploração da CVE-2024-0204
A detecção proativa de exploração de vulnerabilidades continua sendo um dos principais casos de uso em cibersegurança em 2024. Para se manter atualizado sobre os CVEs emergentes e identificar possíveis ataques cibernéticos contra sua infraestrutura a tempo, confie na Plataforma SOC Prime para defesa cibernética coletiva. Nosso Threat Detection Marketplace, atuando como o maior repositório do mundo de algoritmos de detecção baseados em comportamento, agrega uma nova regra voltada para a detecção de exploração da CVE-2024-0204.
A detecção é compatível com 18 soluções SIEM, EDR, XDR e Data Lake e mapeada para a MITRE ATT&CK v14 abordando táticas de Acesso Inicial e Explorar Aplicações com Interface Exposta (T1190) como técnica principal. Além disso, para facilitar a investigação de ameaças, a regra é enriquecida com metadados extensivos, incluindo links CTI, referências ATT&CK e outros detalhes relevantes.
Para explorar toda a coleção de regras de detecção curadas que abordam a exploração de vulnerabilidades, clique no Explorar Detecções botão abaixo.
A Plataforma SOC Prime facilita a descoberta e análise dos TTPs adversários, a identificação de pontos cegos na cobertura de fontes de logs, a correção de lacunas existentes, a priorização de procedimentos de detecção e o compartilhamento do contexto TTP com parceiros em 45 principais idiomas de detecção SIEM, EDR e Data Lake.
Análise da CVE-2024-0204
Mais de uma centena de organizações globais confiam no Fortra GoAnywhere MFT como uma solução de software para transferência gerenciada de arquivos, simplificando a troca de dados entre sistemas, funcionários e clientes, o que expõe essas empresas a riscos severos em caso de riscos de segurança identificados, como tentativas de exploração de vulnerabilidades. A Fortra notificou recentemente os defensores sobre uma vulnerabilidade de bypass de autenticação recentemente descoberta, rastreada como CVE-2024-0204 afetando suas versões de software GoAnywhere MFT antes da 7.4.1. A falha crítica tem uma classificação CVSS de 9.8 e permite que atacantes gerem um novo usuário administrador através do portal de administração.
O estabelecimento de contas não autorizadas com privilégios administrativos representa um risco significativo de tomada completa do sistema. Se explorado no GoAnywhere MFT, isso poderia dar aos atacantes sinal verde para acessar dados sensíveis, facilitar o implante de malware e potencialmente lançar ataques adicionais na rede comprometida.
Como medidas de mitigação potenciais para a CVE-2024-0204, Fortra recomenda atualizar para a versão do software 7.4.1 ou uma posterior. Em implantações não baseadas em contêineres, o bug de segurança pode ser solucionado removendo o arquivo “InitialAccountSetup.xhtml” do diretório de instalação e reiniciando os serviços. Para instâncias implantadas em contêineres, o arquivo deve ser substituído por um arquivo vazio, seguido de uma reinicialização do sistema.
Com o aumento exponencial nos volumes de CVEs e zero-days afetando produtos populares de software, a detecção proativa de explorações de vulnerabilidades ocupa uma das principais posições entre as necessidades de conteúdo SOC. Com o Uncoder AI, as equipes podem otimizar sua rotina de Engenharia de Detecção escrevendo códigos de detecção contra ameaças emergentes de forma mais rápida e inteligente usando modelos de regras automatizados, capacidades de autocompletar MITRE ATT&CK, verificações instantâneas de lógica e sintaxe de regras, além de traduzir trechos de conteúdo em 65 formatos de idiomas de várias tecnologias SIEM, EDR e Data Lake instantaneamente.
