
GoAnywhere MFT Zero-day Kwetsbaarheid: Wat u moet weten
Op 1 februari waarschuwden onderzoekers van Fortra hun klanten voor een zero-day remote code injection-kwetsbaarheid in hun GoAnywhere MFT-software. De GoAnywhere MFT Zero-day-kwetsbaarheid stelt beheerdersconsoles bloot die direct met het internet zijn verbonden in plaats van via virtuele privénetwerken (VPN) of via IP-gebaseerde clouddiensten zoals AWS en Azure te routeren.
Wat is GoAnywhere MFT?
GoAnywhere MFT is een oplossing voor beveiligde bestandsoverdracht en data-encryptie die organisaties helpt hun processen voor bestandsoverdracht te automatiseren en te stroomlijnen. Het stelt gebruikers in staat om veilig bestanden over te dragen, geautomatiseerde workflows te gebruiken en gegevens te versleutelen, zowel in rust als onderweg.
GoAnywhere MFT ondersteunt diverse protocollen zoals FTP, SFTP, HTTPS en AS2, en biedt functionaliteiten zoals bestandstriggers, taakplanning en gedetailleerde audit logs. Het kan on-premises, in de cloud of als hybride oplossing worden ingezet. Het helpt organisaties te voldoen aan wetgeving rondom gegevensbescherming zoals GDPR, HIPAA en PCI DSS.
GoAnywhere MFT Zero-day Overzicht
De zero-day remote code execution (RCE) kwetsbaarheid (CVE-2023-0669) werd voor het eerst openbaar gemaakt door securityjournalist Brian Krebs, die een kopie plaatste op Mastodon. De GoAnywhere MFT Zero-day-kwetsbaarheid maakt het voor een aanvaller mogelijk om een niet-geauthentiseerde backdoor in het systeem te creëren, waardoor een aanvaller bestanden kan uploaden, verwijderen, aanpassen of extraheren uit het systeem. Op het moment van schrijven van deze Blog Post was er nog geen CVSS-score (Common Vulnerability Scoring System) toegekend aan de kwetsbaarheid.
Wat is een Remote Code Injection-kwetsbaarheid?
Een Remote Code Injection-kwetsbaarheid is een type beveiligingslek dat een aanvaller in staat stelt om kwaadaardige code in een applicatie te injecteren vanaf een externe bron. Het is een aantrekkelijk aanvalspad vanwege de lage instapdrempel en het potentieel voor grootschalige schade. De kwaadaardige code kan vervolgens worden uitgevoerd om activiteiten uit te voeren zoals datadiefstal, privilege-escalatie of systeemcompromittering. Remote code injection-kwetsbaarheden ontstaan door programmeerfouten of onvoldoende inputvalidatie bij het schrijven van applicaties. Onveilige programmeerpraktijken maken het voor kwaadwillenden mogelijk om continu nieuwe manieren te vinden om applicaties te misbruiken.
Aanvallers die remote code injection-kwetsbaarheden benutten, gebruiken diverse technieken, zoals fuzzing en code review, om programmeerfouten en gebrekkige inputvalidatie te identificeren en uit te buiten. Fuzzing houdt in dat grote hoeveelheden willekeurige data naar invoervelden worden gestuurd om potentiële kwetsbaarheden te ontdekken. Code review betreft het analyseren van de broncode van een applicatie op mogelijke fouten. Aanvallers kunnen ook geautomatiseerde tools en scanners gebruiken om zwakke plekken te identificeren.
Security Advisory van Fortra als reactie op GoAnywhere MFT Zero-day
Beheerdersconsoles en managementinterfaces zouden idealiter nooit direct aan het internet blootgesteld moeten worden. Als reactie op de post van Krebs voerde securityprofessional Kevin Beaumont een Shodan-scan uit om te bepalen hoeveel GoAnywhere MFT-instanties blootgesteld waren en vond er 1.008 op servers—voornamelijk in de VS. Tegelijkertijd zag BleepingComputer echter slechts 151 blootgestelde 8000- en 8001-poorten.
Het advies van Fortra is getiteld “A Zero-Day Remote Code Injection exploit was identified in GoAnywhere MFT.” De ontwikkelaars van Fortra schreven: “Het aanvalspad van deze exploit vereist toegang tot de beheerdersconsole van de applicatie, die in de meeste gevallen alleen toegankelijk is vanuit het interne bedrijfsnetwerk, via VPN, of via toegestane IP-adressen (bij gebruik in cloudomgevingen zoals Azure of AWS).”
Totdat er een patch beschikbaar is, adviseert Fortra dat beheerders van GoAnywhere MFT de volgende mitigatie toepassen:
- Op het bestandssysteem waar GoAnywhere MFT is geïnstalleerd, bewerk het bestand: “[install_dire]/adminroot/WEB_INF/web.xml.”
- Zoek en verwijder (verwijder of zet commentaartekens) de volgende servlet- en servlet-mappingconfiguratie.
- Herstart de GoAnywhere MFT-applicatie.
Beperken van Advanced Persistent Threats
Nu dreigingsactoren steeds vaker Advanced Persistent Threats inzetten om hun aanvallen te versnellen, hun sporen te verdoezelen en meer toegang te krijgen tot de systemen waarop ze inbreken, moeten GoAnywhere MFT-klanten alle beheerdersaccounts controleren op verdachte activiteiten. Dit kan onder meer zijn: 1) onbekende gebruikersnamen, 2) “Aangemaakt door” toont “system”, 3) het tijdstip van aanmaak van het account is verdacht, en 4) de Admin Audit Log toont dat een niet-bestaande of uitgeschakelde super user een account aanmaakt. Door extra beheerdersaccounts aan te maken, kunnen aanvallers hun persistentie bij eindklanten binnen de GoAnywhere MFT-toeleveringsketen verlengen.
4 Aanbevelingen voor klanten die getroffen zijn door de GoAnywhere MFT Zero-day
Terwijl GoAnywhere MFT-klanten bepalen hoe ze verder moeten na de GoAnywhere MFT Zero-day, heb ik vier aanbevelingen:
- Voer patches direct uit: Zodra patches beschikbaar zijn voor de GoAnywhere MFT Zero-day-kwetsbaarheid, moeten GoAnywhere MFT-klanten deze direct implementeren.
- Volg de instructies van Fortra: Bij een zero-day-kwetsbaarheid is het cruciaal dat klanten de instructies van de leverancier opvolgen. Zie de bovenstaande bespreking voor de acties die u moet uitvoeren en doe dit zo snel mogelijk.
- Stel duidelijke communicatiekanalen in: Wijs alle relevante partijen binnen uw organisatie aan voor communicatie met het GoAnywhere MFT-team en zorg dat zij op de hoogte zijn van hun namen, contactgegevens en verantwoordelijkheden.
- Hanteer beste practices: Volg zowel de beste practices van de softwareleverancier als die van uw eigen organisatie. In het geval van de GoAnywhere MFT Zero-day adviseerde Fortra klanten om de beheerdersconsole alleen te benaderen via VPN of een IP-gebaseerde clouddienst, en om alle beheerdersgebruikers te controleren en te monitoren op onbekende gebruikersnamen, met name die aangemaakt door “system”.
Incident Response Takeaways en Security Hardening
Samen met andere leiders binnen het bedrijf stond ik vooraan bij de respons op een zero-day-kwetsbaarheid in Accellion’s verouderde File Transfer Appliance (FTA) ongeveer twee jaar geleden. We werkten nauw samen met Mandiant tijdens de incident response en ontdekten dat het cruciaal is om snel te handelen en een softwareleverancier te hebben die effectieve mitigatiemaatregelen implementeert. Het is ook belangrijk voor GoAnywhere MFT-klanten die getroffen zijn door de GoAnywhere MFT Zero-day om te onthouden dat ze, vanwege het hardnekkige karakter van veel cyberaanvallen, zowel hun eigen beste beveiligingspraktijken als die van Fortra moeten naleven om extra kwetsbaarheden te voorkomen.
Het positieve is dat we ondanks het FTA-datalek meer dan 90% van onze klanten konden behouden door over te stappen naar het Kiteworks Private Content Network (PCN). Dit laat zien hoe zorgvuldig en zorgvuldig handelen bij een incident het verschil kan maken voor een bedrijf. Tegenwoordig wordt Kiteworks PCN algemeen beschouwd als een van de meest veilige platforms die beschikbaar zijn, met een virtueel gehard apparaat en een defense-in-depth-beveiligingsaanpak, waarbij het bedrijf het sterkste groeijaar ooit kende in FY22.
Veelgestelde vragen
Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële dreigingen voor hun digitale bezittingen, zoals hardware, systemen, klantgegevens en intellectueel eigendom, te identificeren, beoordelen en prioriteren. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste dreigingen te identificeren en een plan op te stellen om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe dreigingen en organisatorische veranderingen. Het uiteindelijke doel van Risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een cruciaal onderdeel is van de algemene risicobeheerstrategie van elke organisatie.
De belangrijkste componenten van een programma voor Risicobeheer cyberbeveiliging zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en evaluaties.
Organisaties kunnen cyberbeveiligingsrisico’s beperken met verschillende strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële dreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bij het detecteren en elimineren van dreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response-plan kan de schade tijdens een cyberincident minimaliseren, en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot kan naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST)-standaarden, organisaties verder helpen bij het beperken van cyberbeveiligingsrisico’s.
Een risicobeoordeling is een essentieel onderdeel van Risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële dreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.
Continue monitoring is een cruciaal onderdeel van Risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cyberbeveiligingsnormen en regelgeving, zodat organisaties snel eventuele niet-naleving kunnen aanpakken. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvorming ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.