遭活跃利用的GoAnyWhere MFT 0day 补丁发布

2月1日，Fortra（此前名称为HelpSystems）通知GoAnywhere MFT用户注意一个“远程代码注入利用0day”。之后该公司还发布了两份其它安全通知，每份通知都提供了缓解措施和妥协指标 (IoCs)。

该漏洞是一个远程代码注入漏洞，攻击者需要访问该应用的管理员控制台才能利用它。安全研究员Kevin Beaumont 指出，目前互联网上可公开访问1000多个本地实例，其中多数位于美国。

Rapid7公司的安全研究员Caitlin Condon指出，“Krebs 发布的关于Fortra的公告，建议GoAnywhere MFT客户查看所有管理员用户并监控未识别的用户名称，尤其是由系统创建的用户名。逻辑推理是Fortra可能会看到后续的攻击者行为如创建新的管理员或者其它用户，从而接管或在易受攻击的目标系统上维护持久性。”该公司还表示，威胁者可能会利用复用、薄弱或默认凭据获得对该控制台的管理员权限。

目前，GoAnywhere 0day的补丁已发布，建议用户紧急更新至GoAnywhere MFT 7.1.2版本。该公司指出，“尤其对于运行暴露在互联网上的管理员门户的客户而言，我们认为这样做刻不容缓”。

目前尚不存在相关攻击的任何信息。目前尚不清楚该漏洞遭国家黑客组织还是受经济利益驱动的网络犯罪分子利用。

该漏洞尚未获得CVE编号。

Fortra公司提心根用户检查日志文件中是否存在某特定代码行，提示系统已遭攻击。如该日志文件提示攻陷迹象，则用户应查看是否存在可疑的管理员用户。

某安全研究员已发布该0day的技术详情以及PoC 利用。

Shodan 搜索结果显示存在近1000个暴露在互联网上的GoAnywhere 实例。然而，Fortra 提到利用要求访问应用的管理控制台，且至少其中某些被暴露的实例与该产品的web客户端接口存在关联。该接口不受漏洞影响。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~