CVE-2024-0204：Fortra GoAnywhere MFT における重大な認証バイパス

Fortraは2023年12月7日リリースのGoAnywhere MFTでこの脆弱性に対処していることは明らかですが、これまでアドバイザリを発行していなかったようです。この脆弱性を発見した研究者Mohammed Eldeeb氏のスクリーンショットによると、12月4日頃にGoAnywhere MFTの顧客に対して非公開の通信が行われていたようです。

2023年2月、GoAnywhere MFTのゼロデイ脆弱性（CVE-2023-0669）が、Cl0pランサムウェアグループによる大規模な恐喝キャンペーンで悪用されました。Fortraの最初の勧告では、CVE-2024-0204が悪用されているかどうかは不明ですが、特に修正プログラムが1カ月以上前からリバースエンジニアリング可能になっていることから、この脆弱性はすぐに標的にされると予想されます。Rapid7は、GoAnywhere MFTのお客様に緊急措置を講じることを強くお勧めします。

緩和ガイダンス

CVE-2024-0204 は、GoAnywhere MFT の以下のバージョンに影響します：

• Fortra GoAnywhere MFT バージョン 6.0.1以降
• Fortra GoAnywhere バージョン7.4.1 以前

GoAnywhere MFTをご利用のお客様で、まだ固定バージョン（7.4.1以上）にアップデートされていない場合は、定期的なパッチサイクルを待たずに緊急アップデートを行う必要があります。また、組織は、管理ポータルが公共のインターネットに公開されていないことを確認する必要があります。

ベンダーアドバイザリは以下のように述べています：「コンテナ以外のデプロイメントでは、インストールディレクトリの InitialAccountSetup.xhtml ファイルを削除し、サービスを再起動することで脆弱性を解消できる可能性もあります。コンテナ展開されたインスタンスでは、このファイルを空のファイルに置き換えて再起動してください。詳細については、https://my.goanywhere.com/webclient/ViewSecurityAdvisories.xhtml（登録が必要です）を参照してください。」

固定バージョンにアップデートできない場合、Fortraは2つの手動による緩和経路を提供しています：1.InitialAccountを削除する：

• インストールディレクトリのInitialAccountSetup.xhtmlファイルを削除し、サービスを再起動する。
• InitialAccountSetup.xhtmlファイルを空ファイルで置き換え、サービスを再起動する。

Rapid7のお客様

InsightVMおよびNexposeのお客様は、1月23日午後3時20分（米国東部時間）にリリースされたコンテンツ・アップデートで利用可能な認証されていない脆弱性チェック（vuln ID: goanywhere-cve-2024-0204）により、CVE-2024-0204への露出を評価することができます。

更新情報

2024年1月23日：この脆弱性は、12月初旬にGoAnywhere MFTの顧客に対して非公開で通知されたとされる内容を追記するために更新されました。管理ポータルを公共のインターネットに公開すべきではないことを強化するための、緩和策に関するガイダンスを更新しました。

※本ブログは英語版ブログ "CVE-2024-0204: Critical Authentication Bypass in Fortra GoAnywhere MFT" の機械翻訳版です。最新情報等につきま���ては、原文をご参照ください。