Vulnerabilities ›

CVE-2023-0669

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Fortra GoAnywhere MFT Pre-Authentication Remote Code Execution (CVE-2023-0669)

                    Published: Feb 10, 2023                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Fortra GoAnywhere MFT Remote Code Execution Vulnerability — Fortra (formerly, HelpSystems) GoAnywhere MFT contains a pre-authentication remote code execution vulnerability in the License Response Servlet due to deserializing an attacker-controlled object.

🤖 AI Executive Summary

CVE-2023-0669 is a critical pre-authentication remote code execution vulnerability in Fortra GoAnywhere MFT affecting version 7.4.1 and earlier. The vulnerability exploits unsafe deserialization in the License Response Servlet, allowing unauthenticated attackers to execute arbitrary code remotely. With a CVSS score of 9.0 and publicly available exploits, this poses an immediate threat to organizations using GoAnywhere MFT for secure file transfer operations.

📄 Description (Arabic)

تعتمد ثغرة CVE-2023-0669 على معالجة غير آمنة لعملية فك تسلسل الكائنات في خادم استجابة الترخيص بدون التحقق من صحة المدخلات. يمكن للمهاجم إرسال كائن مسلسل ضار عبر الشبكة قبل المصادقة، مما يؤدي إلى تنفيذ كود عشوائي بامتيازات عالية. تم تطوير أدوات استغلال عملية وتوزيعها بنشاط من قبل الجهات الفاعلة في التهديدات.

🤖 ملخص تنفيذي (AI)

CVE-2023-0669 هو ثغرة حرجة في تنفيذ الأوامر البعيدة قبل المصادقة في Fortra GoAnywhere MFT تؤثر على الإصدار 7.4.1 وما قبله. تستغل الثغرة فك التسلسل غير الآمن في خادم استجابة الترخيص، مما يسمح للمهاجمين غير المصرح لهم بتنفيذ أوامر عشوائية عن بعد. مع درجة CVSS 9.0 والاستغلالات المتاحة للجمهور، تشكل هذه الثغرة تهديداً فورياً للمنظمات التي تستخدم GoAnywhere MFT لعمليات نقل الملفات الآمنة.

🤖 AI Intelligence Analysis Analyzed: Apr 21, 2026 07:54

🇸🇦 Saudi Arabia Impact Assessment

This vulnerability poses critical risk to Saudi banking sector (SAMA-regulated institutions), government agencies (NCA oversight), energy sector (ARAMCO and subsidiaries), and telecommunications providers (STC, Mobily) that rely on GoAnywhere MFT for secure file transfer and data exchange. Financial institutions face direct risk of data breach and unauthorized access to customer information. Government entities handling classified or sensitive data are at high risk. Healthcare organizations using GoAnywhere MFT for patient data exchange face HIPAA-equivalent compliance violations. The pre-authentication nature means no valid credentials are required, making this exploitable from the internet without insider access.

🏢 Affected Saudi Sectors

Banking and Financial Services Government and Public Administration Energy and Utilities Telecommunications Healthcare Manufacturing Retail and E-commerce

🎯 MITRE ATT&CK Techniques

T1190 - Exploit Public-Facing Application T1202 - Indirect Command Execution T1059 - Command and Scripting Interpreter T1203 - Exploitation for Client Execution T1648 - Serverless Execution T1133 - External Remote Services

⚖️ Saudi Risk Score (AI)

9.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all instances of Fortra GoAnywhere MFT in your environment, particularly versions 7.4.1 and earlier

2. Isolate affected systems from internet-facing access immediately or restrict access to trusted IP ranges only

3. Enable detailed logging and monitoring of the License Response Servlet endpoint

4. Review access logs for suspicious activity targeting /goanywhere/servlet/LicenseResponseServlet



PATCHING:

1. Upgrade to Fortra GoAnywhere MFT version 7.5.0 or later immediately

2. Apply security patches from Fortra as they become available

3. Test patches in non-production environment before deployment

4. Prioritize patching for internet-facing instances



COMPENSATING CONTROLS (if patching delayed):

1. Implement Web Application Firewall (WAF) rules to block requests to /goanywhere/servlet/LicenseResponseServlet

2. Deploy network segmentation to restrict access to GoAnywhere MFT to authorized networks only

3. Implement rate limiting and anomaly detection on the License Response Servlet

4. Disable GoAnywhere MFT if not actively required



DETECTION:

1. Monitor for HTTP POST requests to /goanywhere/servlet/LicenseResponseServlet with suspicious payloads

2. Alert on any deserialization errors in GoAnywhere MFT logs

3. Monitor for unexpected process execution from GoAnywhere MFT service account

4. Track outbound connections from GoAnywhere MFT servers to unusual destinations

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع نسخ Fortra GoAnywhere MFT في بيئتك، خاصة الإصدار 7.4.1 وما قبله

2. عزل الأنظمة المتأثرة عن الوصول المواجه للإنترنت فوراً أو قيد الوصول إلى نطاقات IP موثوقة فقط

3. فعّل التسجيل والمراقبة التفصيلية لنقطة نهاية خادم استجابة الترخيص

4. راجع سجلات الوصول للنشاط المريب الموجه نحو /goanywhere/servlet/LicenseResponseServlet

التصحيح:

1. قم بالترقية إلى Fortra GoAnywhere MFT الإصدار 7.5.0 أو أحدث فوراً

2. طبق تصحيحات الأمان من Fortra عند توفرها

3. اختبر التصحيحات في بيئة غير الإنتاج قبل النشر

4. أولوية التصحيح للنسخ المواجهة للإنترنت

الضوابط البديلة (إذا تأخر التصحيح):

1. طبق قواعد جدار حماية تطبيقات الويب (WAF) لحجب الطلبات إلى /goanywhere/servlet/LicenseResponseServlet

2. نشر تقسيم الشبكة لتقييد الوصول إلى GoAnywhere MFT للشبكات المصرح بها فقط

3. طبق تحديد معدل الطلبات والكشف عن الشذوذ على خادم استجابة الترخيص

4. عطّل GoAnywhere MFT إذا لم يكن مطلوباً بنشاط

الكشف:

1. راقب طلبات HTTP POST إلى /goanywhere/servlet/LicenseResponseServlet مع حمولات مريبة

2. أصدر تنبيهات عند أي أخطاء فك تسلسل في سجلات GoAnywhere MFT

3. راقب تنفيذ العمليات غير المتوقعة من حساب خدمة GoAnywhere MFT

4. تتبع الاتصالات الصادرة من خوادم GoAnywhere MFT إلى وجهات غير عادية

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Information Security Policies and Procedures ECC 2024 A.6.1.1 - Access Control and Authentication ECC 2024 A.8.1.1 - Cryptography and Data Protection ECC 2024 A.12.2.1 - Change Management ECC 2024 A.12.6.1 - Vulnerability Management

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Software and Hardware Inventory SAMA CSF PR.AC-1 - Access Control and Authentication SAMA CSF PR.PT-1 - Security Awareness and Training SAMA CSF DE.CM-1 - Detection and Monitoring SAMA CSF RS.MI-1 - Incident Response and Recovery

🟡 ISO 27001:2022

ISO 27001:2022 A.5.1 - Policies for Information Security ISO 27001:2022 A.6.1 - Organization of Information Security ISO 27001:2022 A.8.1 - Asset Management ISO 27001:2022 A.12.6 - Management of Technical Vulnerabilities ISO 27001:2022 A.14.2 - Information Security Requirements in Third-Party Relationships

🟣 PCI DSS v4.0

PCI DSS 6.2 - Security Patches and Updates PCI DSS 6.5.1 - Injection Flaws PCI DSS 11.2 - Vulnerability Scanning PCI DSS 11.3 - Penetration Testing

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Fortra:GoAnywhere MFT

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS94.38%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2023-03-03

Published 2023-02-10

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.5

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited ransomware

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2023-0669

Introduce Yourself

Sign In Required