Grave vulnerabilità su Fortra

PROTO: N240319

CERT-Yoroi informa che è stata resa nota una grave vulnerabilità su Fortra che consente agli aggressori remoti di eseguire codice arbitrario sul prodotto software FileCatalyst.

Fortra FileCatalyst è un software specializzato progettato per il trasferimento rapido di file di grandi dimensioni su reti di qualsiasi tipo. Utilizzando un protocollo proprietario ottimizzato per i trasferimenti, assicura velocità elevate e una sicurezza avanzata. Grazie alle sue funzionalità di crittografia end-to-end e di gestione centralizzata, rappresenta una soluzione per le esigenze di trasferimento di file.

Tale vulnerabilità, pubblicata dal vendor all’interno del security advisory e nota con l’identificativo CVE-2024-25153, risiede nella componente “ftpservlet” di “Workflow Web Portal” e potrebbe essere sfruttata, tramite richieste POST opportunamente predisposte, al fine di caricare file arbitrari al di fuori della directory di default “uploadtemp “. Inoltre, l’eventuale caricamento di file JSP opportunamente creati all’interno della “Document Root” del portale web, potrebbe permettere l’esecuzione di codice arbitrario, incluse web shells, sulle istanze interessate.

Il POC di tale vulnerabilità è stato reso pubblico, il che aumenta la probabilità di sfruttamento da parte di attori malevoli e, pertanto, la gravità del possibile impatto e l’attenzione rivoltasi.

L’exploit code dimostra come eventuali aggressori possano rilevare automaticamente i sistemi vulnerabili con login anonimo abilitato, ottenere token di sessione, caricare comandi shell ed eseguire comandi OS, semplificando il processo di sfruttamento e aumentando il rischio di attacchi riusciti.

Fortra ha risolto la vulnerabilità che affligge le diverse versioni del software con la release rilasciata il 13 marzo, la quale può essere scaricata tramite il portale ufficiale di download del vendor. Quest’ultimo raccomanda di eseguire l'aggiornamento alla versione FileCatalyst 5.1.6 Build 114 o successive.

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index 

Riferimenti Esterni

https://www.fortra.com/security/advisory/FI-2024-002

https://filecatalyst.software/public/filecatalyst/Workflow/5.1.6.114/fcweb_releasenotes.html

https://socradar.io/rce-vulnerability-fortra-filecatalyst-workflow