Er is een ernstig beveiligingslek ontdekt in de Fortra’s GoAnywhere MFT software versie 7.8.0 en eerder. Door zwakke toegangcontrole kunnen aanvallers een Denial of Service (DoS) veroorzaken, vooral als de GoAnywhere One-Time Password (GOTP) 2FA is geconfigureerd zonder een vooraf ingesteld e-mailadres.
Overzicht
Dit beveiligingsprobleem, CVE-2025-3871, stelt een aanvaller in staat om een dienstonderbreking te creëren. Dit gebeurt wanneer gebruikers de GOTP e-mailtweefactorauthenticatie gebruiken en er geen e-mailadres is ingevoerd. Een aanvaller kan dit misbruiken door het e-mailadres van een bekende gebruiker in te voeren, waardoor die gebruiker mogelijk wordt uitgeschakeld.
Aanbevelingen
- Upgrade naar GoAnywhere MFT versie 7.8.1 of hoger om het probleem op te lossen.
Workarounds
- Zorg ervoor dat alle gebruikers die GOTP e-mail gebruiken voor 2FA al een e-mailadres hebben ingesteld.
- In situaties waar een e-mail vooraf niet kan worden ingesteld (zoals bij zelfregistratie), schakel de Admin- en Webgebruikerssjablonen over naar een andere 2FA-optie zoals Tijdgebaseerde Eenmalige Wachtwoord of RADIUS.
Bronnen
Meer informatie en updates zijn beschikbaar op de officiële beveiligingsadviespagina van Fortra.
Vraag en Antwoord
Wat is CVE-2025-3871?
CVE-2025-3871 betreft een zwakke plek in toegangcontrole in de GoAnywhere MFT software die een Denial of Service kan veroorzaken.
Welke systemen zijn kwetsbaar voor CVE-2025-3871?
Alle systemen met GoAnywhere MFT versie 7.8.0 en eerder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, upgraden naar versie 7.8.1 of hoger is aanbevolen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan een legitieme gebruiker uitschakelen door diens e-mailadres te gebruiken tijdens een GOTP-configuratie zonder vooraf ingesteld e-mailadres.
