{"id":30861,"date":"2024-01-31T11:33:42","date_gmt":"2024-01-31T09:33:42","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30861"},"modified":"2024-01-31T11:33:42","modified_gmt":"2024-01-31T09:33:42","slug":"exploit-authentication-bypass-vulnerability-goanywhere-mft","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/exploit-authentication-bypass-vulnerability-goanywhere-mft\/30861\/","title":{"rendered":"Schwerwiegende Sicherheitsl\u00fccke in GoAnywhere MFT ausgenutzt"},"content":{"rendered":"

Mehrere Experten haben die Sicherheitsl\u00fccke CVE-2024-0204 in der Software Fortra GoAnywhere MFT<\/em> (MFT steht f\u00fcr Managed File Transfer) analysiert<\/a> und einen Exploit-Code ver\u00f6ffentlicht, der diese L\u00fccke ausnutzt. Wir erkl\u00e4ren die Gefahr und was Unternehmen, die diese Software verwenden, dagegen tun sollten.<\/p>\n

\u00a0<\/p>\n

Sicherheitsl\u00fccke CVE-2024-0204 in GoAnywhere <\/strong>MFT<\/strong><\/h2>\n

Lassen Sie uns zun\u00e4chst kurz nachverfolgen, wie es zu dieser Sicherheitsl\u00fccke in GoAnywhere kam. Tats\u00e4chlich hat Fortra, das Unternehmen, das diese L\u00f6sung entwickelt, diese Sicherheitsl\u00fccke bereits Anfang Dezember 2023 mit der Ver\u00f6ffentlichung von GoAnywhere MFT 7.4.1 geschlossen. Damals entschied sich das Unternehmen jedoch, keine Informationen \u00fcber die Sicherheitsl\u00fccke zu ver\u00f6ffentlichen und beschr\u00e4nkte sich darauf, private Empfehlungen an Kunden zu senden.<\/p>\n

Die Sicherheitsl\u00fccke sieht im Wesentlichen wie folgt aus. Nachdem ein Benutzer die Ersteinrichtung von GoAnywhere abgeschlossen hat, blockiert die interne Logik des Produkts den Zugriff auf die Seite f\u00fcr die Ersteinrichtung des Kontos. Wenn der Benutzer dann versucht, auf diese Seite zuzugreifen, wird er entweder zum Verwaltungsbereich (wenn er als Administrator authentifiziert ist) oder zur Authentifizierungsseite weitergeleitet.<\/p>\n

Untersuchungen haben jedoch ergeben, dass ein alternativer Pfad zur Datei InitialAccountSetup.xhtml verwendet werden kann, der von der Umleitungslogik nicht ber\u00fccksichtigt wird. In diesem Szenario erm\u00f6glicht es GoAnywhere MFT jedem, auf diese Seite zuzugreifen und ein neues Benutzerkonto mit Administratorrechten zu erstellen.<\/p>\n

Als Beweis f\u00fcr die Durchf\u00fchrbarkeit des Angriffs haben die Forscher ein kurzes Skript erstellt und ver\u00f6ffentlicht, mit dem Administratorkonten in anf\u00e4lligen Versionen von GoAnywhere MFT angelegt werden k\u00f6nnen. Ein Angreifer muss lediglich einen neuen Kontonamen, ein Kennwort (die einzige Anforderung ist, dass es mindestens acht Zeichen enth\u00e4lt, was an sich schon interessant ist) und den Pfad angeben:<\/p>\n

\"Teil<\/a>

Ein Teil des Exploit-Codes f\u00fcr die Sicherheitsl\u00fccke CVE-2024-0204. Rot hervorgehoben ist der alternative Pfad zur Seite f\u00fcr die anf\u00e4ngliche Kontoeinrichtung, die die Erstellung von Benutzern mit Administratorrechten erm\u00f6glicht<\/p><\/div>\n

\u00a0<\/p>\n

Im Gro\u00dfen und Ganzen \u00e4hnelt diese Sicherheitsl\u00fccke derjenigen, die vor einigen Monaten in Atlassian Confluence Data Center und Confluence Server entdeckt<\/u> wurde; auch dort war es m\u00f6glich, in wenigen einfachen Schritten Admin-Konten zu erstellen.<\/p>\n

Fortra stufte die Sicherheitsl\u00fccke CVE-2024-0204<\/a> als \u201ekritisch\u201c ein, mit einer CVSS 3.1 Bewertung von 9,8 von 10.<\/p>\n

Hierzu ist ein wenig Kontext erforderlich. Im Jahr 2023 nutzte die Ransomware-Gruppe Clop bereits Schwachstellen in Fortra GoAnywhere MFT und auch in \u00e4hnlichen Produkten anderer Entwickler \u2013 Progress MOVEit<\/a>, Accellion FTA und SolarWinds Serv-U \u2013 aus, um Hunderte von Unternehmen weltweit anzugreifen. Vor allem Unternehmen wie Procter & Gamble, Community Health Systems (CHS, eines der gr\u00f6\u00dften Krankenhausnetzwerke in den USA) und die Stadtverwaltung von Toronto waren von der Schwachstelle in GoAnywhere MFT betroffen.<\/p>\n

\u00a0<\/p>\n

Wie Sie sich gegen die Sicherheitsl\u00fccke CVE-2024-0204 sch\u00fctzen k\u00f6nnen<\/strong><\/h2>\n

Die naheliegendste M\u00f6glichkeit, sich vor der Ausnutzung dieser Sicherheitsl\u00fccke zu sch\u00fctzen, ist ein sofortiges Update von GoAnywhere MFT auf Version 7.4.1, das die Logik zur Verweigerung des Zugriffs auf die Seite InitialAccountSetup.xhtml behebt.<\/p>\n

Wenn Sie das Update aus irgendeinem Grund nicht installieren k\u00f6nnen, k\u00f6nnen Sie eine von zwei einfachen Umgehungen versuchen:<\/p>\n