Une faille critique de Fortra GoAnywhere exploitée avant sa divulgation

Une vulnérabilité de sécurité critique dans le logiciel Fortra GoAnywhere Managed File Transfer a été activement exploitée dans la nature au moins une semaine avant sa divulgation publique, selon les chercheurs en cybersécurité de watchTowr Labs. La vulnérabilité, répertoriée sous le nom de CVE-2025-10035, porte la note de gravité maximale de CVSS 10.0 et présente des risques importants pour les organisations qui utilisent la solution de transfert de fichiers populaire.

Preuve d'une exploitation active avant la divulgation

La société de cybersécurité watchTowr Labs a révélé des preuves crédibles de l'exploitation de la vulnérabilité de GoAnywhere remontant au 10 septembre 2025, soit sept jours avant l'annonce publique de la faille de sécurité. Cette chronologie soulève de sérieuses inquiétudes quant à la fenêtre de vulnérabilité pendant laquelle les systèmes affectés sont restés sans protection.

Benjamin Harris, PDG et fondateur de watchTowr, a souligné la gravité de la situation, notant qu'il ne s'agit pas simplement d'une vulnérabilité critique dans une solution d'entreprise largement utilisée, mais d'une vulnérabilité qui a été activement exploitée par des acteurs menaçants. Le logiciel a toujours été une cible pour les groupes de menaces persistantes avancées et les opérateurs de ransomware, ce qui rend cette découverte particulièrement alarmante pour les équipes de sécurité.

Les preuves d'exploitation comprennent des traces de pile montrant la création de comptes de porte dérobée, démontrant que les attaquants ont développé des méthodes sophistiquées pour compromettre les systèmes affectés avant que les correctifs ne soient disponibles.

Détails techniques de CVE-2025-10035

La vulnérabilité provient d'une faille de désérialisation dans le composant License Servlet de Fortra GoAnywhere MFT. Les attaquants peuvent exploiter cette faiblesse pour réaliser une injection de commande sans nécessiter d'authentification, ce qui en fait une faille de sécurité extrêmement dangereuse.

Selon l'analyse technique de watchTowr, le vecteur d'attaque implique l'envoi d'une requête HTTP GET spécialement conçue vers le point d'extrémité "/goanywhere/license/Unlicensed.xhtml/". Cela permet une interaction directe avec le composant License Servlet, ciblant spécifiquement "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" qui est exposé à "/goanywhere/lic/accept/<GUID>".

Toutefois, la chaîne d'exploitation complète est plus complexe qu'il n'y paraît. L'analyse de l'éditeur de solutions de cybersécurité Rapid7 a révélé que la vulnérabilité CVE-2025-10035 n'est pas isolée, mais qu'elle fait partie d'une chaîne impliquant trois problèmes de sécurité distincts. Il s'agit d'un contournement du contrôle d'accès connu depuis 2023, de la vulnérabilité de désérialisation dangereuse elle-même et d'un autre problème inconnu lié à la manière dont les attaquants obtiennent une clé privée spécifique.

Chaîne d'attaque et activité des acteurs de la menace

L'enquête ultérieure de WatchTowr a permis de découvrir des informations détaillées sur la manière dont les acteurs de la menace ont exploité la vulnérabilité dans des attaques réelles. La séquence d'attaque suit un schéma méthodique conçu pour établir un accès persistant aux systèmes compromis.

Tout d'abord, les attaquants déclenchent la vulnérabilité de pré-authentification pour exécuter un code à distance sur le système cible. Ils tirent ensuite parti de cet accès initial pour créer un compte utilisateur GoAnywhere nommé "admin-go", ce qui leur permet de prendre pied dans l'application. En utilisant ce compte nouvellement créé, les attaquants procèdent à la création d'un utilisateur web, ce qui leur donne des capacités supplémentaires pour interagir avec la solution.

Enfin, les auteurs de la menace utilisent le compte de l'utilisateur web pour télécharger et exécuter d'autres charges utiles malveillantes. Les chercheurs ont identifié plusieurs outils déployés lors de ces attaques, notamment SimpleHelp et un implant inconnu appelé "zato_be.exe". Cette approche en plusieurs étapes démontre la sophistication des acteurs de la menace qui exploitent cette vulnérabilité.

Il est intéressant de noter que l'activité d'attaque provenait de l'adresse IP 155.2.190.197, qui a déjà été signalée pour avoir mené des attaques par force brute contre des appliances VPN SSL FortiGate de Fortinet au début du mois d'août 2025, ce qui suggère l'implication d'acteurs de la menace organisés avec des capacités de ciblage diverses.

Atténuation et actions recommandées

Fortra a répondu à la divulgation de la vulnérabilité en publiant des versions corrigées de GoAnywhere MFT la semaine dernière. Les organisations qui utilisent les versions affectées doivent immédiatement passer à la version 7.8.4 ou à la version Sustain 7.6.3 pour remédier à la faille de sécurité.

Compte tenu des preuves confirmées d'une exploitation active dans la nature, les équipes de sécurité doivent traiter cette mise à jour comme une priorité d'urgence. Les organisations qui ne peuvent pas appliquer immédiatement les correctifs doivent envisager de mettre en œuvre des solutions de contournement temporaires, telles que la restriction de l'accès réseau à l'interface GoAnywhere MFT ou le placement du système derrière des contrôles de sécurité supplémentaires.

Les professionnels de la sécurité doivent également mener des investigations judiciaires approfondies sur leurs systèmes GoAnywhere MFT afin de rechercher des signes de compromission. Les indicateurs à rechercher comprennent des comptes d'utilisateurs inattendus, en particulier ceux nommés "admin-go", une activité inhabituelle de création d'utilisateurs Web et des preuves de déploiements de SimpleHelp ou d'exécutables inconnus.

Cette vulnérabilité est un rappel brutal de l'importance d'un déploiement rapide des correctifs, en particulier pour les solutions de transfert de fichiers orientées vers Internet qui sont fréquemment ciblées par des acteurs de menaces avancées et des groupes de ransomware. Les organisations qui s'appuient sur GoAnywhere MFT pour les transferts de fichiers sécurisés doivent donner la priorité à la mise à jour de sécurité afin de protéger les données sensibles et de prévenir les brèches potentielles.

SOURCE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html