Kritična ranjivost Fortra GoAnywhere iskorištena prije objave

Kritična sigurnosna ranjivost u Fortra GoAnywhere Managed File Transfer softveru aktivno je iskorištena u stvarnom svijetu najmanje jednu sedmicu prije javnog objavljivanja, prema istraživačima sajber sigurnosti iz watchTowr Labs. Ranjivost, označena kao CVE-2025-10035, nosi maksimalnu ocjenu ozbiljnosti CVSS 10.0 i predstavlja značajne rizike za organizacije koje koriste popularno rješenje za prijenos fajlova.

Dokazi o aktivnoj eksploataciji prije objave

Firma za sajber sigurnost watchTowr Labs otkrila je vjerodostojne dokaze koji pokazuju iskorištavanje GoAnywhere ranjivosti još od 10. septembra 2025., sedam dana prije nego što je sigurnosni propust javno objavljen. Ovaj vremenski okvir izaziva ozbiljne zabrinutosti u vezi sa periodom ranjivosti tokom kojeg su pogođeni sistemi ostali nezaštićeni.

Benjamin Harris, CEO i osnivač watchTowr, naglasio je ozbiljnost situacije, ističući da se ne radi samo o kritičnoj ranjivosti u široko korištenom enterprise rješenju, već o ranjivosti koja je aktivno iskorištena od strane prijetnji. Softver je historijski bio meta grupa za napredne uporne prijetnje i operatera ransomware-a, što ovu pojavu čini posebno alarmantnom za sigurnosne timove.

Dokazi eksploatacije uključuju stack trace-ove koji pokazuju kreiranje backdoor naloga, što demonstrira da su napadači razvili sofisticirane metode za kompromitovanje pogođenih sistema prije nego što su dostupni patch-evi.

Tehnički detalji CVE-2025-10035

Ranjivost proizlazi iz greške u deserializaciji u License Servlet komponenti Fortra GoAnywhere MFT. Napadači mogu iskoristiti ovu slabost za izvršavanje komandi bez potrebe za autentifikacijom, što je čini izuzetno opasnim sigurnosnim propustom.

Prema tehničkoj analizi watchTowr-a, vektor napada uključuje slanje posebno kreiranog HTTP GET zahtjeva na "/goanywhere/license/Unlicensed.xhtml/" endpoint. Ovo omogućava direktnu interakciju sa License Servlet komponentom, posebno ciljajući "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" koji je izložen na "/goanywhere/lic/accept/<GUID>".

Međutim, kompletan lanac eksploatacije je složeniji nego što se prvobitno razumjelo. Analiza sajber sigurnosnog vendora Rapid7 otkrila je da CVE-2025-10035 nije samostalna ranjivost, već dio lanca koji uključuje tri odvojena sigurnosna problema. To uključuje bypass kontrole pristupa poznat od 2023., samu ranjivost u nesigurnoj deserializaciji, i dodatni nepoznati problem vezan za način na koji napadači dobijaju specifični privatni ključ.

Lanac napada i aktivnost prijetnji

Naknadna istraga watchTowr-a otkrila je detaljne informacije o tome kako su prijetnje iskorištavale ranjivost u stvarnim napadima. Sekvenca napada prati metodičan obrazac dizajniran za uspostavljanje trajnog pristupa kompromitovanim sistemima.

Prvo, napadači aktiviraju ranjivost prije autentifikacije kako bi ostvarili udaljeno izvršavanje koda na ciljnom sistemu. Zatim koriste ovaj početni pristup za kreiranje GoAnywhere korisničkog naloga nazvanog "admin-go", čime uspostavljaju svoj uporište unutar aplikacije. Koristeći ovaj novokreirani nalog, napadači nastavljaju sa kreiranjem web korisnika, što im pruža dodatne mogućnosti za interakciju sa rješenjem.

Na kraju, prijetnje koriste web korisnički nalog za upload i izvršavanje dodatnih zlonamjernih payload-a. Istraživači su identifikovali nekoliko alata korištenih tokom ovih napada, uključujući SimpleHelp i nepoznati implant pod nazivom "zato_be.exe." Ovaj višestepeni pristup pokazuje sofisticiranost prijetnji koje iskorištavaju ovu ranjivost.

Zanimljivo je da je aktivnost napada potekla sa IP adrese 155.2.190.197, koja je ranije označena zbog izvođenja brute-force napada na Fortinet FortiGate SSL VPN uređaje početkom avgusta 2025., što sugeriše uključenost organizovanih prijetnji sa raznovrsnim ciljevima.

Ublažavanje i preporučene mjere

Fortra je odgovorila na objavu ranjivosti izdavanjem patch-iranih verzija GoAnywhere MFT prošle sedmice. Organizacije koje koriste pogođene verzije trebaju odmah nadograditi na verziju 7.8.4 ili Sustain Release 7.6.3 kako bi otklonile sigurnosni propust.

S obzirom na potvrđene dokaze o aktivnoj eksploataciji u stvarnom svijetu, sigurnosni timovi trebaju ovaj update tretirati kao hitan prioritet. Organizacije koje ne mogu odmah primijeniti patch-eve trebaju razmotriti implementaciju privremenih rješenja, poput ograničavanja mrežnog pristupa GoAnywhere MFT interfejsu ili postavljanja sistema iza dodatnih sigurnosnih kontrola.

Sigurnosni profesionalci također trebaju provesti detaljne forenzičke istrage svojih GoAnywhere MFT sistema kako bi provjerili znakove kompromitacije. Indikatori na koje treba obratiti pažnju uključuju neočekivane korisničke naloge, posebno one nazvane "admin-go," neuobičajenu aktivnost kreiranja web korisnika, te dokaze o korištenju SimpleHelp ili nepoznatih izvršnih fajlova.

Ova ranjivost služi kao oštra opomena o važnosti brze implementacije patch-eva, posebno za rješenja za prijenos fajlova koja su izložena internetu i često meta naprednih prijetnji i ransomware grupa. Organizacije koje se oslanjaju na GoAnywhere MFT za siguran prijenos fajlova moraju prioritetno primijeniti sigurnosni update kako bi zaštitile osjetljive podatke i spriječile potencijalne proboje.

SOURCE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html