Fortra GoAnywhere MFT Remote Code Execution Vulnerability — Fortra (formerly, HelpSystems) GoAnywhere MFT contains a pre-authentication remote code execution vulnerability in the License Response Servlet due to deserializing an attacker-controlled object.
CVE-2023-0669 is a critical pre-authentication remote code execution vulnerability in Fortra GoAnywhere MFT affecting version 7.4.1 and earlier. The vulnerability exploits unsafe deserialization in the License Response Servlet, allowing unauthenticated attackers to execute arbitrary code remotely. With a CVSS score of 9.0 and publicly available exploits, this poses an immediate threat to organizations using GoAnywhere MFT for secure file transfer operations.
تعتمد ثغرة CVE-2023-0669 على معالجة غير آمنة لعملية فك تسلسل الكائنات في خادم استجابة الترخيص بدون التحقق من صحة المدخلات. يمكن للمهاجم إرسال كائن مسلسل ضار عبر الشبكة قبل المصادقة، مما يؤدي إلى تنفيذ كود عشوائي بامتيازات عالية. تم تطوير أدوات استغلال عملية وتوزيعها بنشاط من قبل الجهات الفاعلة في التهديدات.
CVE-2023-0669 هو ثغرة حرجة في تنفيذ الأوامر البعيدة قبل المصادقة في Fortra GoAnywhere MFT تؤثر على الإصدار 7.4.1 وما قبله. تستغل الثغرة فك التسلسل غير الآمن في خادم استجابة الترخيص، مما يسمح للمهاجمين غير المصرح لهم بتنفيذ أوامر عشوائية عن بعد. مع درجة CVSS 9.0 والاستغلالات المتاحة للجمهور، تشكل هذه الثغرة تهديداً فورياً للمنظمات التي تستخدم GoAnywhere MFT لعمليات نقل الملفات الآمنة.
IMMEDIATE ACTIONS:
1. Identify all instances of Fortra GoAnywhere MFT in your environment, particularly versions 7.4.1 and earlier
2. Isolate affected systems from internet-facing access immediately or restrict access to trusted IP ranges only
3. Enable detailed logging and monitoring of the License Response Servlet endpoint
4. Review access logs for suspicious activity targeting /goanywhere/servlet/LicenseResponseServlet
PATCHING:
1. Upgrade to Fortra GoAnywhere MFT version 7.5.0 or later immediately
2. Apply security patches from Fortra as they become available
3. Test patches in non-production environment before deployment
4. Prioritize patching for internet-facing instances
COMPENSATING CONTROLS (if patching delayed):
1. Implement Web Application Firewall (WAF) rules to block requests to /goanywhere/servlet/LicenseResponseServlet
2. Deploy network segmentation to restrict access to GoAnywhere MFT to authorized networks only
3. Implement rate limiting and anomaly detection on the License Response Servlet
4. Disable GoAnywhere MFT if not actively required
DETECTION:
1. Monitor for HTTP POST requests to /goanywhere/servlet/LicenseResponseServlet with suspicious payloads
2. Alert on any deserialization errors in GoAnywhere MFT logs
3. Monitor for unexpected process execution from GoAnywhere MFT service account
4. Track outbound connections from GoAnywhere MFT servers to unusual destinations
الإجراءات الفورية:
1. حدد جميع نسخ Fortra GoAnywhere MFT في بيئتك، خاصة الإصدار 7.4.1 وما قبله
2. عزل الأنظمة المتأثرة عن الوصول المواجه للإنترنت فوراً أو قيد الوصول إلى نطاقات IP موثوقة فقط
3. فعّل التسجيل والمراقبة التفصيلية لنقطة نهاية خادم استجابة الترخيص
4. راجع سجلات الوصول للنشاط المريب الموجه نحو /goanywhere/servlet/LicenseResponseServlet
التصحيح:
1. قم بالترقية إلى Fortra GoAnywhere MFT الإصدار 7.5.0 أو أحدث فوراً
2. طبق تصحيحات الأمان من Fortra عند توفرها
3. اختبر التصحيحات في بيئة غير الإنتاج قبل النشر
4. أولوية التصحيح للنسخ المواجهة للإنترنت
الضوابط البديلة (إذا تأخر التصحيح):
1. طبق قواعد جدار حماية تطبيقات الويب (WAF) لحجب الطلبات إلى /goanywhere/servlet/LicenseResponseServlet
2. نشر تقسيم الشبكة لتقييد الوصول إلى GoAnywhere MFT للشبكات المصرح بها فقط
3. طبق تحديد معدل الطلبات والكشف عن الشذوذ على خادم استجابة الترخيص
4. عطّل GoAnywhere MFT إذا لم يكن مطلوباً بنشاط
الكشف:
1. راقب طلبات HTTP POST إلى /goanywhere/servlet/LicenseResponseServlet مع حمولات مريبة
2. أصدر تنبيهات عند أي أخطاء فك تسلسل في سجلات GoAnywhere MFT
3. راقب تنفيذ العمليات غير المتوقعة من حساب خدمة GoAnywhere MFT
4. تتبع الاتصالات الصادرة من خوادم GoAnywhere MFT إلى وجهات غير عادية