Суть уязвимости

Злоумышленник может отправить специально сформированный POST-запрос к компоненту wmProgressstat.html в Accellion FTA. Это позволяет выполнить атаку типа Server-Side Request Forgery (SSRF), при которой сервер приложения вынужден делать несанкционированные HTTP-запросы к внутренним ресурсам сети (например, к метаданным облачных инстансов, другим внутренним системам или самому себе). Это может привести к раскрытию конфиденциальной информации, обходу систем безопасности или использованию сервера как прокси для атак.

Как исправить

Уязвимость устранена в обновленных версиях ПО Accellion FTA. Необходимо обновить установку до версии, содержащей патч.

1. Определите текущую версию вашего экземпляра Accellion FTA.
2. Загрузите и установите патч от вендора. Для версий FTA 9_12_411 и ранее требуется обновление. Конкретные версии с исправлением:
   • FTA 9_12_416 и выше.
   • FTA 9_12_370 и выше (для более старых веток).

3. Процесс обновления (общий вид, уточните в инструкции от Accellion):

   • Остановите службы FTA.
   • Создайте резервную копию текущей установки и данных.
   • Распакуйте архив с патчем и запустите скрипт обновления.

   ```bash

   Пример последовательности команд (актуальный скрипт уточняйте у вендора)

   systemctl stop fta tar -czvf /backup/fta_backup_$(date +%Y%m%d).tar.gz /usr/local/fta/ cd /path/to/patch/ ./install_patch.sh systemctl start fta ``` 4. Проверьте обновление, убедившись, что версия изменилась на защищенную.

Важно: Обновления предоставляются напрямую компанией Accellion (после 2021 года — компанией Kiteworks). Обратитесь в поддержку для получения корректных патч-файлов для вашей версии.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Изоляция сети:

   • Разместите сервер Accellion FTA в изолированном сетевом сегменте (DMZ) с строгими правилами исходящего доступа (egress filtering). Заблокируйте все исходящие HTTP/HTTPS-запросы с этого сервера, кроме абсолютно необходимых для его работы.
   • Запретите доступ к серверу FTA из интернета, если это не требуется для бизнес-процессов. Ограничьте входящий доступ только доверенными IP-адресами.

2. Настройка WAF (Web Application Firewall):

   • Настройте правила в WAF для блокировки запросов, содержащих путь /wmProgressstat.html или wmProgressstat.html в URI.
   • Создайте правило для блокировки POST-запросов к этому endpoint.
   • Пример правила для ModSecurity (CRS): apache SecRule REQUEST_URI "@contains wmProgressstat.html" \ "id:1001,\ phase:1,\ deny,\ status:403,\ msg:'Blocking access to vulnerable endpoint wmProgressstat.html'"

3. На уровне веб-сервера (Apache/Nginx):

   • Добавьте конфигурационное правило для возврата ошибки 403 (Forbidden) при обращении к уязвимому компоненту.
   • Пример для Nginx: nginx location ~* /wmProgressstat\.html$ { deny all; return 403; }
   • Пример для Apache (.htaccess или конфиг виртуального хоста): apache <LocationMatch "/wmProgressstat\.html$"> Require all denied </LocationMatch>

Примечание: Временные решения лишь снижают поверхность атаки. Полное устранение уязвимости возможно только путем установки официального патча от вендора.