速修复！Fortra GoAnywhere MFT 中存在严重的认证绕过漏洞

GoAnywhere MFT 用于保护与客户以及业务合作伙伴之间传输文件的安全，客户遍布全球各地。它支持协助法律合规和审计的安全加密协议、自动化、中心化控制以及多种记录和报告工具。

新发现的漏洞编号是CVE-2024-0204，CVSS v3.1评分为9.8，可遭远程利用，越权用户可通过该产品的门户创建管理员用户。以管理员权限创建任意账户可导致设备遭完全接管。在 GoAnywhere MFT的案例中，它可导致攻击者访问敏感数据、引入恶意软件并可能在网络中进一步发动攻击。

该漏洞影响 Fortra GoAnywhere MFG 6.0.1起的6.x版本、Fortra GoAnywhere MFT 7.4.0及更早版本，已在2023年12月7日发布的 GoAnywhere MFT 7.4.1 中修复。Fortra 公司建议所有用户安装最新更新（当前7.4.1）以修复该漏洞。

Fortra 还提供如下两种手动缓解方法：

1、删除安装目录中的 InitialAccountSetup.xhtml 文件并重启服务。

2、用空文件替换 InitialAccountSetup.xhtml 文件并重启服务。

值得注意的是，CVE-2024-0204由 Spark Engineering Consultants 公司的员工 Mohammed Eldeeb 和 Islam Elrfai 在2023年12月1日发现，距离现在已过去了很久的时间。

Fortra 公司回应称，“我们没有发现该漏洞遭活跃利用的报告。漏洞已在2023年12月修复。不过，既然 Fortra 公司已发布缓解措施以及漏洞的搜索线索，如果 PoC 出现也不足为奇。

2023年年初，Clop 勒索团伙利用位于 GoAnywhere MFT 中的一个严重的远程代码执行漏洞CVE-2023-0669，攻陷130家企业和组织机构。

自2023年1月18日起，该漏洞就被当作0day漏洞利用。Fortra 公司在2023年2月3日发现了该漏洞的利用并在3天后发布补丁。

遗憾的是，破坏已造成，Clop 勒索组织大规模窃取数据，影响全球组织机构，导致数据泄露、名誉受损和运营中断等。一些著名的受害者包括皇冠度假酒店集团、CHS、Hatch Bank、Rubrik、多伦多市、日立能源、宝洁、萨克斯第五大道等。

Fortra 公司并未透露更多详情，仅在2023年4月中旬沟通了内部调查结果。