{"id":21422,"date":"2024-01-30T16:50:15","date_gmt":"2024-01-30T14:50:15","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21422"},"modified":"2024-01-30T16:50:15","modified_gmt":"2024-01-30T14:50:15","slug":"exploit-authentication-bypass-vulnerability-goanywhere-mft","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/exploit-authentication-bypass-vulnerability-goanywhere-mft\/21422\/","title":{"rendered":"Exploit d’une vuln\u00e9rabilit\u00e9 critique dans GoAnywhere MFT"},"content":{"rendered":"

Les chercheurs ont analys\u00e9<\/a> la vuln\u00e9rabilit\u00e9 CVE-2024-0204 dans le logiciel Fortra GoAnywhere MFT<\/em> (MFT signifiant managed file transfer<\/em> ou transfert de donn\u00e9es g\u00e9r\u00e9) et publi\u00e9 le code d\u2019exploit qui en tire avantage. Nous vous expliquons quel est le danger, et ce que devraient faire les organisations qui utilisent ce logiciel \u00e0 ce sujet.<\/p>\n

Vuln\u00e9rabilit\u00e9 CVE-2024-0204 dans GoAnywhere MFT<\/h2>\n

Commen\u00e7ons par revenir bri\u00e8vement sur l\u2019histoire de cette vuln\u00e9rabilit\u00e9 de GoAnywhere. En fait, Fortra, la soci\u00e9t\u00e9 qui d\u00e9veloppe cette solution, a corrig\u00e9 cette vuln\u00e9rabilit\u00e9 au d\u00e9but du mois de d\u00e9cembre 2023 en publiant la version 7.4.1 de GoAnywhere MFT. Cependant, la soci\u00e9t\u00e9 avait alors d\u00e9cid\u00e9 de ne pas divulguer d\u2019informations sur la vuln\u00e9rabilit\u00e9, se limitant \u00e0 l\u2019envoi de recommandations priv\u00e9es aux clients.<\/p>\n

La teneur de la vuln\u00e9rabilit\u00e9 est la suivante : Quand l\u2019utilisateur a termin\u00e9 la configuration initiale de GoAnywhere, la logique interne du produit bloque l\u2019acc\u00e8s \u00e0 la page de configuration initiale du compte. Par la suite, si celui-ci tente d\u2019acc\u00e9der \u00e0 cette page, il est redirig\u00e9 soit vers le panneau d\u2019administration (s\u2019il est authentifi\u00e9 en tant qu\u2019administrateur), soit vers la page d\u2019authentification.<\/p>\n

Cependant, les chercheurs ont d\u00e9couvert qu\u2019un autre chemin d\u2019acc\u00e8s au fichier InitialAccountSetup.xhtml peut \u00eatre utilis\u00e9, ce dont la logique de redirection ne tient pas compte. Dans ce sc\u00e9nario, GoAnywhere MFT permet \u00e0 n\u2019importe qui d\u2019acc\u00e9der \u00e0 cette page et de cr\u00e9er un nouveau compte d\u2019utilisateur avec des droits d\u2019administrateur.<\/p>\n

Pour prouver la faisabilit\u00e9 de l\u2019attaque, les chercheurs ont \u00e9crit et publi\u00e9 un court script capable de cr\u00e9er des comptes d\u2019administrateur dans les versions vuln\u00e9rables de GoAnywhere MFT. Il suffit \u00e0 un attaquant de sp\u00e9cifier un nouveau nom de compte, un mot de passe (la seule exigence est qu\u2019il contienne au moins huit caract\u00e8res, ce qui est int\u00e9ressant en soi) et le chemin d\u2019acc\u00e8s :<\/p>\n

\"Partie<\/a>

Partie du code de l\u2019exploit pour la vuln\u00e9rabilit\u00e9 CVE-2024-0204. Le chemin alternatif vers la page de configuration initiale du compte, qui permet de cr\u00e9er des utilisateurs avec des privil\u00e8ges d\u2019administrateur, est surlign\u00e9 en rouge<\/p><\/div>\n

De mani\u00e8re g\u00e9n\u00e9rale, cette vuln\u00e9rabilit\u00e9 ressemble fortement \u00e0 celle d\u00e9couverte dans l\u2019Atlassian Confluence Data Center and Confluence Server il y a quelques mois\u00a0; dans ce cas \u00e9galement, il \u00e9tait possible de cr\u00e9er des comptes d\u2019administrateurs en quelques \u00e9tapes simples.<\/p>\n

Fortra a assign\u00e9 le statut \u00ab\u00a0critique\u00a0\u00bb \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2024-0204<\/a>, avec un score CVSS 3.1 de 9,8 sur 10.<\/p>\n

Apportons un peu de contexte. En 2023, le groupe de ransomwares Clop avait d\u00e9j\u00e0 exploit\u00e9 des vuln\u00e9rabilit\u00e9s dans Fortra GoAnywhere MFT ainsi que dans des produits similaires d\u2019autres d\u00e9veloppeurs (Progress MOVEit<\/a>, Accellion FTA et SolarWinds Serv-U) pour attaquer des centaines d\u2019organisations dans le monde entier. Des entreprises telles que Procter & Gamble, Community Health Systems (CHS, l\u2019un des plus grands r\u00e9seaux hospitaliers des \u00c9tats-Unis) et la municipalit\u00e9 de Toronto ont notamment \u00e9t\u00e9 victimes de l\u2019exploit de la vuln\u00e9rabilit\u00e9 de GoAnywhere MFT.<\/p>\n

Comment se d\u00e9fendre contre l\u2019exploit CVE-2024-0204<\/h2>\n

La fa\u00e7on la plus efficace de se prot\u00e9ger contre l\u2019exploitation de cette vuln\u00e9rabilit\u00e9 est de mettre \u00e0 jour GoAnywhere MFT vers la version 7.4.1 imm\u00e9diatement. Cette mise \u00e0 jour corrige la logique de fonctionnement pour refuser l\u2019acc\u00e8s \u00e0 la page InitialAccountSetup.xhtml.<\/p>\n

Si vous ne pouvez pas installer la mise \u00e0 jour pour une quelconque raison, vous pouvez essayer l\u2019une des deux solutions de contournement simples suivantes :<\/p>\n