最終更新 Wed, 24 Jan 2024 00:34:22 GMT
2024年1月22日、Fortra社は、GoAnywhere MFTセキュアマネージドファイル転送製品の7.4.1以前のバージョンに影響を及ぼす重大な認証バイパスであるCVE-2024-0204に関するセキュリティアドバイザリを公開しました。この脆弱性はリモートから悪用可能で、権限のないユーザーが管理ポータル経由で管理者ユーザーを作成することができます。Fortra社は、CVE-2024-0204の根本原因を「CWE-425: Forced Browsing(強制ブラウジング)」としており、これはウェブアプリケーションが制限されたURL、スクリプト、またはファイルに対する認証を適切に実施していない場合に発生する脆弱性です。
Fortraは2023年12月7日リリースのGoAnywhere MFTでこの脆弱性に対処していること��明らかですが、これまでアドバイザリを発行していなかったようです。この脆弱性を発見した研究者Mohammed Eldeeb氏のスクリーンショットによると、12月4日頃にGoAnywhere MFTの顧客に対して非公開の通信が行われていたようです。
2023年2月、GoAnywhere MFTのゼロデイ脆弱性(CVE-2023-0669)が、Cl0pランサムウェアグループによる大規模な恐喝キャンペーンで悪用されました。Fortraの最初の勧告では、CVE-2024-0204が悪用されているかどうかは不明ですが、特に修正プログラムが1カ月以上前からリバースエンジニアリング可能になっていることから、この脆弱性はすぐに標的にされると予想されます。Rapid7は、GoAnywhere MFTのお客様に緊急措置を講じることを強くお勧めします。
緩和ガイダンス
CVE-2024-0204 は、GoAnywhere MFT の以下のバージョンに影響します:
GoAnywhere MFTをご利用のお客様で、まだ固定バージョン(7.4.1以上)にアップデートされていない場合は、定期的なパッチサイクルを待たずに緊急アップデートを行う必要があります。また、組織は、管理ポータルが公共のインターネットに公開されていないことを確認する必要があります。
ベンダーアドバイザリは以下のように述べています:「コンテナ以外のデプロイメントでは、インストールディレクトリの InitialAccountSetup.xhtml ファイルを削除し、サービスを再起動することで脆弱性を解消できる可能性もあります。コンテナ展開されたインスタンスでは、このファイルを空のファイルに置き換えて再起動してください。詳細については、https://my.goanywhere.com/webclient/ViewSecurityAdvisories.xhtml(登録が必要です)を参照してください。」
固定バージョンにアップデートできない場合、Fortraは2つの手動による緩和経路を提供しています:1.InitialAccountを削除する:
Rapid7のお客様
InsightVMおよびNexposeのお客様は、1月23日午後3時20分(米国東部時間)にリリースされたコンテンツ・アップデートで利用可能な認証されていない脆弱性チェック(vuln ID: goanywhere-cve-2024-0204)により、CVE-2024-0204への露出を評価することができます。
更新情報
2024年1月23日:この脆弱性は、12月初旬にGoAnywhere MFTの顧客に対して非公開で通知されたとされる内容を追記するために更新されました。管理ポータルを公共のインターネットに公開すべきではないことを強化するための、緩和策に関するガイダンスを更新しました。
※本ブログは英語版ブログ "CVE-2024-0204: Critical Authentication Bypass in Fortra GoAnywhere MFT" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。