Instituto Nacional de ciberseguridad. Sección Incibe

Vulnerabilidad crítica de omisión de autenticación en GoAnywhere MFT de Fortra

Vulnerabilidad crítica de omisión de autenticación en GoAnywhere MFT de Fortra

Fecha24/01/2024
Importancia5 - Crítica
Recursos Afectados
  • Fortra GoAnywhere MFT, desde la versión 6.0.1 hasta la versión 7.4.1.
Descripción

Se ha detectado una vulnerabilidad de severidad crítica en GoAnywhere MFT de Fortra que podría permitir a un ciberdelincuente crear un usuario administrador a través del portal de administración.

Solución

Se recomienda actualizar a la versión 7.4.1 o superior. Esta vulnerabilidad también puede ser eliminada en despliegues sin contenedor, eliminando el archivo InitialAccountSetup.xhtml en el directorio de instalación y reiniciando los servicios. Para instancias implementadas en contenedores, será necesario reemplazar el archivo mencionado por uno vacío y reiniciar.

Puedes obtener más información registrándote en el portal del cliente de GoAnywhere.

Mantener los sistemas actualizados es fundamental para la seguridad de las empresas. Las actualizaciones incorporan parches de seguridad que corrigen vulnerabilidades como la descrita en este aviso. Recuerda que para minimizar el impacto de cualquier incidente de seguridad, es necesario contar con un plan de gestión de incidentes.

Detalle

La vulnerabilidad detectada es del tipo omisión de autenticación, es decir, elude los requisitos de autenticación en el acceso a un servicio. Esta vulnerabilidad, de severidad crítica, podría permitir a un ciberdelincuente crear un usuario con máximos privilegios a través del portal de administración.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).