# CVE-2023-0669 - GoAnywhere MFT RCE (Cl0p Mass Exploitation) > [!high] CVSS 7.2 - CISA KEV - Exploração em Massa pelo Cl0p > Vulnerabilidade de execução remota de código pré-autenticação no Fortra GoAnywhere MFT, explorada pelo grupo **Cl0p** para comprometer mais de 130 organizações globalmente em dez dias. Técnica de desserialização Java insegura na interface administrativa. EPSS 94% - probabilidade máxima de exploração. ## Visão Geral CVE-2023-0669 é uma vulnerabilidade de **execução remota de código (RCE) pré-autenticação** no [[Fortra GoAnywhere MFT]] (Managed File Transfer), causada por desserialização insegura de objetos Java. A falha permite que um atacante com acesso à interface de administração (porta 8001 por padrão) execute código arbitrário no servidor sem necessidade de credenciais válidas. Em muitas implantações corporativas, essa interface administrativa estava exposta diretamente à internet, tornando o ataque trivialmente explorácel. O pesquisador Brian Krebs foi o primeiro a noticiar a falha em fevereiro de 2023. Dias depois, o [[cl0p|Cl0p]] (também rastreado como [[cl0p|TA505]]) assumiu públicamente a responsabilidade pela exploração em massa, reivindicando ter comprometido mais de 130 organizações em apenas dez dias de campanha. O grupo exfiltrou dados de transferências de arquivos das vítimas e públicou ameaças de divulgação pública caso o resgate não fosse pago — padrão operacional característico do Cl0p, que anteriormente utilizou falhas no Accellion FTA ([[cve-2021-27101|CVE-2021-27101]]) com abordagem similar. A Fortra lançou hotfix emergêncial em 1º de fevereiro de 2023, antes mesmo da divulgação pública da CVE. A exploração desta CVE pelo Cl0p antecipou em meses a campanha MOVEit ([[cve-2023-34362|CVE-2023-34362]]), demonstrando a estratégia do grupo de identificar e explorar em massa vulnerabilidades em plataformas MFT (Managed File Transfer) — soluções amplamente utilizadas para transferência segura de dados sensíveis entre organizações. O padrão é consistente: encontrar vulnerabilidades em sistemas que processam e armazenam dados confidenciais, exfiltrar em massa e monetizar via extorsão sem criptografia (pure extortion). ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Fortra | GoAnywhere MFT | < 7.1.2 | 7.1.2+ | | Fortra | GoAnywhere MFT | Todas versões com porta 8001 exposta | Qualquer versão (mitigação de rede) | **Vítimas públicas notáveis:** - Hitachi Energy (dados de empregados exfiltrados) - City of Toronto (dados municipais comprometidos) - Procter & Gamble (dados de funcionários) - Hatch Bank (dados de clientes financeiros) - Community Health Systems (setor saúde) ## Mecanismo de Exploração A vulnerabilidade explora a desserialização insegura de objetos Java na interface de licenciamento do GoAnywhere MFT. O fluxo de ataque: 1. **Reconhecimento** - identificação de instâncias GoAnywhere MFT com porta 8001 acessível via internet (Shodan/Censys) 2. **Envio de payload** - requisição POST para endpoint de licenciamento com objeto Java serializado malicioso 3. **Execução de código** - desserialização dispara execução de código no contexto do servidor 4. **Acesso ao sistema de arquivos** - acesso a todos os arquivos em transferência via GoAnywhere MFT 5. **Exfiltração em massa** - download de dados de transferências para infraestrutura Cl0p Este padrão usa [[t1190-exploit-public-facing-application|T1190]] como acesso inicial, seguido de [[t1005-data-from-local-system|T1005]] para coleta de dados e exfiltração. ## Mitigação **Patch imediato:** - Atualizar para GoAnywhere MFT 7.1.2 ou superior - Aplicar o hotfix emergêncial da Fortra se atualização completa não for possível imediatamente **Controles de rede - CRÍTICO:** - **Remover imediatamente** a interface administrativa (porta 8001) de qualquer acesso público - Restringir porta 8001 exclusivamente a endereços IP de administração internos via firewall - Implementar lista de permissão de IPs (allowlist) na configuração do GoAnywhere MFT **Verificação de comprometimento:** - Revisar logs de acesso na porta 8001 por IPs externos não autorizados (janela 2022-12 a 2023-02) - Auditar arquivos transferidos recentemente por dados não autorizados exfiltrados - Verificar integridade do sistema de arquivos do servidor GoAnywhere MFT - Monitorar logs de acesso aos dados transferidos por atividade anômala > [!latam] Contexto LATAM > O setor financeiro brasileiro utiliza amplamente plataformas MFT para troca de arquivos entre bancos, processadoras de pagamento e parceiros regulatórios (BACEN, B3, CVM). Instâncias GoAnywhere MFT com interface administrativa exposta representam risco direto de comprometimento com exfiltração de dados financeiros sensíveis. O padrão operacional do Cl0p - exfiltração sem criptografia + extorsão - é particularmente perigoso no contexto da LGPD, pois a públicação dos dados pode gerar notificações obrigatórias à ANPD e impactos regulatórios significativos. Empresas latino-americanas que usam GoAnywhere MFT para compartilhamento de dados com parceiros devem revisar configurações de acesso à interface administrativa imediatamente. ## Detecção **Splunk - acesso à interface administrativa de IPs externos:** ```spl index=web sourcetype="access_combined" host="*goanywhere*" dest_port=8001 AND NOT src_ip IN ("10.0.0.0/8", "192.168.0.0/16", "172.16.0.0/12") | stats count, values(uri_path) as paths, earliest(_time) as first_seen by src_ip | sort -count ``` **Sigma - detecção de desserialização Java maliciosa:** ```yaml title: GoAnywhere MFT CVE-2023-0669 RCE Attempt id: a1b2c3d4-e5f6-7890-abcd-ef1234567890 status: experimental description: Detecta tentativas de exploração da CVE-2023-0669 via porta administrativa do GoAnywhere MFT logsource: category: webserver detection: selection: cs-uri-stem|contains: '/goanywhere/admin' c-port: 8001 cs-method: POST external_access: c-ip|not_cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' condition: selection and external_access level: critical tags: - attack.initial_access - attack.t1190 - cve.2023-0669 ``` ## Notas Relacionadas - [[cl0p|Cl0p]] - principal agente de ameaça explorando esta CVE - [[cl0p|TA505]] - designação alternativa para operadores Cl0p - [[GoAnywhere MFT Exploitation 2023]] - campanha de comprometimento em escala - [[cve-2023-34362|CVE-2023-34362]] - vulnerabilidade MOVEit explorada pelo mesmo grupo meses depois - [[cve-2021-27101|CVE-2021-27101]] - Accellion FTA, padrão operacional similar do Cl0p - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - técnica de acesso inicial - [[t1005-data-from-local-system|T1005 - Data from Local System]] - coleta de dados de transferências - [[financial|financeiro]] - setor com múltiplas vítimas na campanha - [[technology|tecnologia]] - empresas de tecnologia entre as vítimas - [[government|governo]] - administrações municipais comprometidas (City of Toronto) ## Referências - [NVD - CVE-2023-0669](https://nvd.nist.gov/vuln/detail/CVE-2023-0669) - [Fortra Security Advisory FI-2023-001](https://www.fortra.com/security/advisory/fi-2023-001) - [CISA KEV Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Krebs on Security - GoAnywhere Zero-Day](https://krebsonsecurity.com/2023/02/fortra-goanywhere-mft-zero-day/) - [Bleeping Computer - Cl0p Claims 130 Organizations](https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day/)