15/11/2024

Actu CybersécuritéLogiciel - OS

Les serveurs GoAnywhere MFT à la merci d’une faille zero-day !

Une faille de sécurité zero-day a été découverte au sein de la console d'administration de la solution GoAnywhere MFT ! En exploitant cette vulnérabilité, un attaquant peut exécuter du code à distance sur le serveur et accéder aux données.

Quelques mots sur GoAnywhere MFT : il s'agit d'une solution permettant l'échange de fichiers sécurisés entre une entreprise et ses partenaires, tout en bénéficiant de journaux précis sur les accès aux fichiers.

D'après les premières informations, cette faille de sécurité affecte aussi bien les instances SaaS que les instances on-premises de GoAnywhere MFT. Pour que cette vulnérabilité puisse être exploitée, la console d'administration doit être accessible depuis Internet, puisqu'elle représente le point d'entrée pour l'attaquant. En temps normal, ce n'est pas le cas : "Le vecteur d'attaque de cet exploit nécessite l'accès à la console d'administration de l'application, qui, dans la plupart des cas, n'est accessible que depuis le réseau privé de l'entreprise, par le biais d'un VPN, ou par des adresses IP autorisées (lorsqu'elle est exécutée dans des environnements Cloud, comme Azure ou AWS)", précise l'éditeur de GoAnywhere MFT.

Toutefois, d'après l'expert Kevin Beaumont, il y aurait plus de 1 000 serveurs GoAnywhere MFT exposés sur Internet, et vulnérable à cette faille de sécurité !

A l'heure où j'écris, ces lignes, il n'existe pas encore de correctif ! Toutefois, Fortra demande aux administrateurs de serveurs GoAnywhere MFT d'effectuer les actions suivantes pour se protéger :

1 - Sur le système de fichiers où GoAnywhere MFT est installé, éditez le fichier "install_dir]/adminroot/WEB_INF/web.xml".

2 - Trouvez et supprimez (ou commentez) la configuration suivante de servlet et de servlet-mapping comme sur l'image ci-dessous.

GoAnywhere MFT - Zero-day 2023

3 - Redémarrez l'application GoAnywhere MFT.

Preuve que la vulnérabilité est sérieuse et qu'il n'existe pas de patch de sécurité, Fortra a temporairement mis hors ligne sa solution en mode SaaS. Par ailleurs, il est recommandé aux entreprises de vérifier la liste des comptes administrateurs de leur instance, à la recherche d'un éventuel compte suspect.

En exploitant cette faille de sécurité, un attaquant pourrait parvenir à récupérer des documents sensibles partagés au travers d'un serveur GoAnywhere MFT ! Donc, si vous utilisez cette solution, vous devez suivre cette alerte de près...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.