Los investigadores han advertido a los usuarios sobre una grave vulnerabilidad de día cero en el software GoAnywhere MFT. La explotación de la vulnerabilidad permite que un atacante penetre en los servidores de la herramienta y ejecute códigos en las consolas de administración expuestas. Luego de la explotación activa de la falla, los proveedores lanzaron el parche de emergencia 7.1.2 para el error, instando a los usuarios a actualizar de inmediato.
GoAnywhere MFT vulnerabilidad de día cero
Recientemente, el equipo de GoAnywhere emitió una alerta para los usuarios, revelando una falla de seguridad grave.
GoAnywhere es un software independiente de transferencia de archivos gestionados (MFT) que ayuda a las empresas a compartir datos con otros usuarios. Los destinatarios pueden ser sistemas de empresas, empleados, clientes o socios comerciales.
La noticia de la vulnerabilidad apareció en línea cuando GoAnywhere publicó un aviso de seguridad en su plataforma. Sin embargo, esto ganó fuerza cuando el reportero de seguridad Brian Krebs señaló el problema en Mastodon.
Para mayor claridad, Krebs copió y pegó la reseña de GoAnywhere en su hilo, al que pudo acceder después de crear una cuenta allí.
Específicamente, GoAnywhere reveló una falla de día cero que permitió que un adversario con acceso a las consolas de administración ejecutara códigos.
El aviso especificaba que dicho acceso era posible a través de VPN, IP incluidas en la lista blanca o redes privadas de empresas. Una consola de administración expuesta a Internet pública siguió siendo muy vulnerable al exploit. Sin embargo, la interfaz del cliente web normalmente accesible no se vio afectada por este problema.
Si bien puede no parecer tan peligroso, lo que la revisión de GoAnywhere no destacó fue el alcance de las consolas de administración accesibles desde la web. Según la respuesta del investigador Kevin Beaumont en el hilo de Krebs, una búsqueda de Shodan encontró una cantidad significativamente grande de consolas de administración expuestas con el puerto 8000 que no es HTTPS en lugar del puerto 8001 (HTTPS).
Mitigaciones recomendadas y solución de emergencia
En el momento de la divulgación del error, no había una solución permanente disponible para este RCE de día cero. Por lo tanto, los proveedores han compartido algunas mitigaciones en su revisión.
Específicamente, pidieron a los clientes con interfaces administrativas vulnerables o expuestas que revisaran las cuentas de usuarios administrativos en busca de accesos no autorizados y aplicaran la configuración recomendada (explicada en el aviso). Los clientes también pueden comunicarse con el equipo de soporte de GoAnywhere para obtener asistencia en este sentido.
Sin embargo, a los pocos días de la divulgación de la vulnerabilidad y los informes de explotación activos, los proveedores lanzaron un parche de emergencia. Como se explicó en su aviso reciente, implementaron la solución con GoAnywhere MFT versión 7.1.2, instando a los usuarios a actualizar de inmediato.
Háganos saber sus pensamientos en los comentarios.