Authenfizierungsbeipass: Fortras GoAnywhere MFT jetzt patchen

Der kritische Authentifizierungsbypass in Fortras GoAnywhere Managed File Transfer (MFT) Produkt, bezeichnet als CVE-2024-0204, wurde am 1. Dezember 2023 entdeckt und von den Sicherheitsforschern Mohammed Eldeeb und Islam R Alater gemeldet. Fortra veröffentlichte am 7. Dezember einen Patch für diese Schwachstelle, jedoch wurde die Beratung erst am 22. Januar öffentlich bekannt gemacht​​​​​​.

Diese Schwachstelle ermöglicht es einem nicht authentifizierten, entfernten Angreifer, durch das Senden einer speziell gestalteten Anfrage an eine anfällige GoAnywhere MFT-Instanz die Authentifizierung zu umgehen und neue Benutzer zu erstellen, einschließlich eines Benutzers mit Administratorrechten. Laut Tenable waren zum 23. Januar 96,4% der GoAnywhere MFT-Assets von dieser Schwachstelle betroffen, während 3,6% eine gepatchte Version verwendeten​​.

Fortra adressierte diese Schwachstelle in einer Version von GoAnywhere MFT, die am 7. Dezember 2023 veröffentlicht wurde, aber es scheint, dass sie erst kürzlich eine Beratung dazu herausgegeben haben. Es gab private Kommunikationen an GoAnywhere MFT-Kunden um den 4. Dezember, bevor der Fehler behoben wurde​​​​.

Fortra empfiehlt dringend, auf die neueste Version zu aktualisieren, um diese Schwachstelle zu beheben. Kunden, die nicht sofort auf eine gepatchte Version (7.4.1 oder höher) aktualisieren können, sollten folgende Maßnahmen ergreifen:

  1. Löschen der Datei InitialAccountSetup.xhtml im Installationsverzeichnis und Neustarten der Dienste.
  2. Ersetzen der InitialAccountSetup.xhtml-Datei durch eine leere Datei und Neustarten der Dienste.

Nach aktuellen Berichten gibt es noch keine Anhaltspunkte, dass die LĂĽcke bereits ausgenutzt wird. Es ist jedoch sehr wahrscheinlich, dass Hacker bald aktiv nach ungepatchten Servern auf Suchmaschinen wie Shodan.io suchen werden.

Related Posts

Spica-Backdoor-Malware

Die Spica-Backdoor-Malware, die von der russischen Hackergruppe ColdRiver eingesetzt wird, tarnt sich als PDF-Entschlüsselungstool. Sie wurde erstmals im November 2022 beobachtet. Diese Malware ermöglicht es Angreifern, über WebSockets und JSON Befehle zu senden und verschiedene schädliche Aktionen durchzuführen, darunter das Ausführen von Shell-Befehlen, das Stehlen von Browser-Cookies, das Hoch- und Herunterladen von Dateien sowie das Exfiltrieren von Dokumenten. Google hat alle Domains und Dateien, die in diesen Angriffen verwendet wurden, zu seinem Safe Browsing-Phishing-Schutz hinzugefügt und betroffene Gmail- und Workspace-Nutzer benachrichtigt.

Read More

Iranische MediaPI Malware zielt auf Forscher

Die MediaPl-Malware, eingesetzt von der iranisch unterstützten Hackergruppe APT35, zielt auf hochrangige Mitarbeiter von Forschungseinrichtungen und Universitäten in Europa und den USA ab. Diese Malware nutzt verschlüsselte Kommunikationskanäle für den Informationsaustausch mit ihrem Command-and-Control-Server und tarnt sich als Windows Media Player, um eine Entdeckung zu vermeiden. Zusätzlich verwendet APT35 eine zweite, auf PowerShell basierende Backdoor-Malware namens MischiefTut, um zusätzliche schädliche Tools einzuschleusen und Überwachungsfähigkeiten zu ermöglichen. Diese Entwicklungen zeigen das fortgesetzte Engagement von APT35 in der Spionage und dem Datendiebstahl, die den Interessen des Iran dienen.

Read More

Emails Microsoft Top-Managern wochenlang russischen Hackern zugänglich

Ein russischer Hackerangriff, bekannt unter dem Namen Midnight Blizzard, hat Zugang zu E-Mail-Konten fĂĽhrender Microsoft-Manager erlangt. Der Angriff, der von Microsoft am 12. Januar 2024 entdeckt wurde, nutzte eine “Password Spray Attack” Methode, um sich Zugang zu einem “Legacy”-Konto zu verschaffen und darĂĽber weitere Unternehmens-E-Mail-Konten zu infiltrieren. Betroffen waren unter anderem Mitglieder des Senior Leadership Teams sowie Mitarbeiter aus den Bereichen Cybersicherheit, Recht und weiteren Funktionen. Microsoft betonte, dass keine Kundendaten oder KI-Systeme betroffen waren​​.

Read More