Au moment d’écrire ces lignes, on ne sait pas pourquoi le fournisseur de sécurité a corrigé une faille majeure dans la plate-forme de transfert de fichiers début décembre, mais n’a pas émis d’avis pendant plus d’un mois.
Le fabricant de GoAnywhere, Fortra, a corrigé une vulnérabilité critique dans la plateforme de transfert de fichiers largement utilisée début décembre, mais semble avoir reporté la divulgation publique du problème de plus de six semaines, publiant seulement un avis sur la faille lundi.
Cette décision a soulevé des questions sur la raison du retard dans la divulgation publique, en particulier compte tenu du fait qu’une vulnérabilité antérieure de l’outil de transfert de fichiers géré (MFT) de GoAnywhere a été exploitée par des acteurs malveillants dans une série d’attaques d’extorsion de données très médiatisées chaque année. il y a.
[Related: 10 Major Cyberattacks And Data Breaches In 2023]
“Fortra a évidemment corrigé cette vulnérabilité dans une version du 7 décembre 2023 de GoAnywhere MFT, mais il semblerait qu’ils n’aient pas émis d’avis jusqu’à présent”, a déclaré Caitlin Condon, directrice de la recherche sur les vulnérabilités et du renseignement chez Rapid7, dans un article de blog mardi.
Au moment d’écrire ces lignes, on ne savait pas clairement pourquoi le public consultatif a été reporté. CRN a contacté Fortra pour demander le raisonnement derrière le retard dans la publication publique de l’avis.
Les organisations s’appuient sur les avis de sécurité pour les aider à prioriser leurs efforts de mise à jour des correctifs, étant donné le nombre massif de vulnérabilités logicielles qui doivent continuellement être corrigées.
La manière dont les fournisseurs traitent et communiquent sur les vulnérabilités est « toujours importante », a déclaré Condon dans un e-mail adressé mardi au CRN.
“Nous espérons que l’adoption des correctifs a commencé en décembre et qu’elle s’accélérera maintenant qu’un avis est largement disponible”, a écrit Condon.
Un représentant de Fortra a déclaré à CRN que la société avait envoyé un e-mail aux clients le 4 décembre 2023, les alertant de l’existence de la vulnérabilité. “Une vulnérabilité critique qui nécessite des mesures correctives a été découverte dans le logiciel GoAnywhere MFT de Fortra”, a déclaré Fortra dans l’e-mail adressé aux clients, selon le texte du message fourni à CRN. L’e-mail envoyé aux clients ne semble pas fournir plus de détails sur la vulnérabilité.
« Action d’urgence » recommandée
La vulnérabilité GoAnywhere (suivie à CVE-2024-0204) peut permettre à un attaquant de contourner l’authentification et a reçu un score de gravité de 9,8 sur 10,0. La vulnérabilité est « exploitable à distance et permet à un utilisateur non autorisé de créer un utilisateur administrateur via le portail d’administration », a déclaré Condon dans le billet de blog.
En plus du retard dans la publication de l’avis, Fortra n’a pas non plus précisé dans la divulgation de lundi si la vulnérabilité avait été activement exploitée par des attaquants – une autre information clé que les organisations recherchent lorsqu’elles déterminent si elles doivent donner la priorité à un correctif. Dans une déclaration par courrier électronique adressée au CRN, Fortra a déclaré qu’elle n’avait « aucun rapport d’exploitation active dans la nature concernant ce CVE ».
Dans tous les cas, « nous nous attendrions à ce que la vulnérabilité soit rapidement ciblée si elle n’a pas déjà été attaquée, d’autant plus que le correctif est disponible pour l’ingénierie inverse depuis plus d’un mois », a écrit Condon dans le blog Rapid7 mardi. « Rapid7 conseille vivement aux clients GoAnywhere MFT de prendre des mesures d’urgence. »
Attaques précédentes
En février 2023, Fortra a informé ses clients qu’elle avait identifié une vulnérabilité zero-day activement exploitée dans GoAnywhere qui pourrait être utilisée pour exécuter à distance du code sur des systèmes vulnérables.
Le plus grand incident de la campagne GoAnywhere – le piratage de la société de prestations de santé et de technologie NationsBenefits – a touché 3 millions de membres, selon le Identity Theft Resource Center.
La plateforme GoAnywhere a également été exploitée par des pirates informatiques pour voler les données de nombreuses autres grandes organisations, notamment Procter & Gamble, la ville de Toronto, Crown Resorts et la société de sécurité des données Rubrik.
Quelques mois plus tard, en 2023, le groupe russophone à l’origine des attaques GoAnywhere, Clop, a lancé une campagne d’attaque massive exploitant un autre outil de transfert de fichiers, MOVEit. Le nombre d’organisations touchées par la campagne MOVEit a dépassé les 2 700, avec plus de 94 millions de personnes touchées, selon un décompte réalisé par la société de cybersécurité Emsisoft.
2024-01-24 01:36:00
1706050031
#Fortra #attendu #semaines #pour #émettre #avis #sur #une #vulnérabilité #critique #GoAnywhere