[Actualización 25/01/2024] Vulnerabilidad crítica de omisión de autenticación en GoAnywhere MFT de Fortra
- Fortra GoAnywhere MFT, desde la versión 6.0.1 hasta la versión 7.4.1.
Se ha detectado una vulnerabilidad de severidad crítica en GoAnywhere MFT de Fortra que podría permitir a un ciberdelincuente crear un usuario administrador a través del portal de administración.
Se recomienda actualizar a la versión 7.4.1 o superior. Esta vulnerabilidad también puede ser eliminada en despliegues sin contenedor, eliminando el archivo InitialAccountSetup.xhtml en el directorio de instalación y reiniciando los servicios. Para instancias implementadas en contenedores, será necesario reemplazar el archivo mencionado por uno vacío y reiniciar.
Puedes obtener más información registrándote en el portal del cliente de GoAnywhere.
Mantener los sistemas actualizados es fundamental para la seguridad de las empresas. Las actualizaciones incorporan parches de seguridad que corrigen vulnerabilidades como la descrita en este aviso. Recuerda que para minimizar el impacto de cualquier incidente de seguridad, es necesario contar con un plan de gestión de incidentes.
La vulnerabilidad detectada es del tipo omisión de autenticación, es decir, elude los requisitos de autenticación en el acceso a un servicio. Esta vulnerabilidad, de severidad crítica, podría permitir a un ciberdelincuente crear un usuario con máximos privilegios a través del portal de administración.
[Actualización 25/01/2024]
Fortra ha informado a INCIBE de que la vulnerabilidad identificada CVE-2024-0204 fue resuelta en las versiones del producto mencionado con un parche el día 7 de diciembre de 2023. Fortra recomienda que para más información se consulte su aviso oficial (ver 'Referencias') o se acceda al portal de clientes.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).