Kritischer Fortra GoAnywhere-Fehler wurde vor der Offenlegung ausgenutzt

Eine kritische Sicherheitslücke in der Fortra GoAnywhere Managed File Transfer Software wurde bereits mindestens eine Woche vor ihrer Veröffentlichung aktiv ausgenutzt, so die Cybersecurity-Forscher von watchTowr Labs. Die Schwachstelle, die unter der Bezeichnung CVE-2025-10035 geführt wird, hat den höchsten Schweregrad von CVSS 10.0 und stellt ein erhebliches Risiko für Unternehmen dar, die die beliebte Dateiübertragungslösung einsetzen.

Beweise für eine aktive Ausnutzung vor der Offenlegung

Das Cybersicherheitsunternehmen watchTowr Labs hat glaubwürdige Beweise für die Ausnutzung der GoAnywhere-Schwachstelle gefunden, die bis zum 10. September 2025 zurückreichen, also sieben Tage vor der öffentlichen Bekanntgabe der Sicherheitslücke. Diese Zeitspanne gibt Anlass zu ernsten Bedenken hinsichtlich des Zeitfensters, in dem die betroffenen Systeme ungeschützt blieben.

Benjamin Harris, CEO und Gründer von watchTowr, betonte den Ernst der Lage und wies darauf hin, dass es sich nicht nur um eine kritische Sicherheitslücke in einer weit verbreiteten Unternehmenslösung handelt, sondern um eine, die von Bedrohungsakteuren aktiv als Waffe eingesetzt wurde. Die Software war in der Vergangenheit ein Ziel für Advanced Persistent Threats und Ransomware-Betreiber, weshalb diese Entdeckung für Sicherheitsteams besonders alarmierend ist.

Zu den Beweisen für die Ausnutzung der Sicherheitslücke gehören Stack-Traces, die die Erstellung von Backdoor-Konten zeigen und belegen, dass die Angreifer ausgeklügelte Methoden entwickelt hatten, um die betroffenen Systeme zu kompromittieren, bevor Patches verfügbar waren.

Technische Einzelheiten zu CVE-2025-10035

Die Schwachstelle rührt von einem Deserialisierungsfehler in der License Servlet-Komponente von Fortra GoAnywhere MFT her. Angreifer können diese Schwachstelle ausnutzen, um Befehle einzuschleusen, ohne dass eine Authentifizierung erforderlich ist, was diese Sicherheitslücke extrem gefährlich macht.

Laut der technischen Analyse von watchTowr beinhaltet der Angriffsvektor das Senden einer speziell präparierten HTTP-GET-Anfrage an den Endpunkt "/goanywhere/license/Unlicensed.xhtml/". Dies ermöglicht eine direkte Interaktion mit der Lizenz-Servlet-Komponente, insbesondere mit dem "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet", das unter "/goanywhere/lic/accept/<GUID>" zu finden ist.

Die gesamte Ausnutzungskette ist jedoch komplexer als zunächst angenommen. Die Analyse des Cybersecurity-Anbieters Rapid7 ergab, dass CVE-2025-10035 keine eigenständige Schwachstelle ist, sondern vielmehr Teil einer Kette, die drei separate Sicherheitslücken umfasst. Dazu gehören eine Umgehung der Zugriffskontrolle, die seit 2023 bekannt ist, die unsichere Deserialisierungsschwachstelle selbst und ein weiteres unbekanntes Problem, das damit zusammenhängt, wie Angreifer einen bestimmten privaten Schlüssel erhalten.

Angriffskette und Aktivitäten der Bedrohungsakteure

Die anschließende Untersuchung von WatchTowr ergab detaillierte Informationen darüber, wie Bedrohungsakteure die Sicherheitslücke in realen Angriffen ausnutzen. Die Angriffssequenz folgt einem methodischen Muster, das darauf abzielt, dauerhaften Zugang zu kompromittierten Systemen zu erhalten.

Zunächst nutzen die Angreifer die Schwachstelle vor der Authentifizierung aus, um Remotecodeausführung auf dem Zielsystem zu erreichen. Anschließend nutzen sie diesen ersten Zugang, um ein GoAnywhere-Benutzerkonto mit dem Namen "admin-go" zu erstellen und sich so einen festen Platz in der Anwendung zu sichern. Mit diesem neu erstellten Konto erstellen die Angreifer dann einen Web-Benutzer, der ihnen zusätzliche Möglichkeiten zur Interaktion mit der Lösung bietet.

Schließlich nutzen die Angreifer das Web-Benutzerkonto, um weitere bösartige Nutzdaten hochzuladen und auszuführen. Die Forscher identifizierten mehrere Tools, die bei diesen Angriffen eingesetzt wurden, darunter SimpleHelp und ein unbekanntes Implantat namens "zato_be.exe". Dieser mehrstufige Ansatz zeigt, wie raffiniert die Bedrohungsakteure sind, die diese Schwachstelle ausnutzen.

Interessanterweise gingen die Angriffe von der IP-Adresse 155.2.190.197 aus, die bereits Anfang August 2025 für die Durchführung von Brute-Force-Angriffen auf Fortinet FortiGate SSL VPN-Appliances gemeldet wurde, was darauf schließen lässt, dass organisierte Bedrohungsakteure mit unterschiedlichen Zielfähigkeiten beteiligt waren.

Entschärfung und empfohlene Maßnahmen

Fortra hat auf die Offenlegung der Sicherheitslücke reagiert und letzte Woche gepatchte Versionen von GoAnywhere MFT veröffentlicht. Unternehmen, die betroffene Versionen einsetzen, sollten umgehend auf Version 7.8.4 oder das Sustain Release 7.6.3 aktualisieren, um die Sicherheitslücke zu schließen.

Angesichts der bestätigten Hinweise auf eine aktive Ausnutzung der Sicherheitslücke in freier Wildbahn sollten Sicherheitsteams dieses Update als dringende Priorität behandeln. Unternehmen, die die Patches nicht sofort anwenden können, sollten temporäre Umgehungslösungen in Erwägung ziehen, z. B. die Einschränkung des Netzwerkzugriffs auf die GoAnywhere MFT-Schnittstelle oder die Platzierung des Systems hinter zusätzlichen Sicherheitskontrollen.

Sicherheitsexperten sollten außerdem gründliche forensische Untersuchungen ihrer GoAnywhere MFT-Systeme durchführen, um nach Anzeichen einer Kompromittierung zu suchen. Zu den Anzeichen gehören unerwartete Benutzerkonten, insbesondere solche mit dem Namen "admin-go", ungewöhnliche Aktivitäten bei der Erstellung von Web-Benutzern sowie Hinweise auf die Bereitstellung von SimpleHelp oder unbekannten ausführbaren Dateien.

Die Schwachstelle macht deutlich, wie wichtig eine schnelle Bereitstellung von Patches ist, insbesondere für Dateitransferlösungen mit Internetanschluss, die häufig von fortschrittlichen Bedrohungsakteuren und Ransomware-Gruppen angegriffen werden. Unternehmen, die GoAnywhere MFT für sichere Dateiübertragungen einsetzen, müssen dem Sicherheitsupdate höchste Priorität einräumen, um sensible Daten zu schützen und potenzielle Sicherheitsverletzungen zu verhindern.

QUELLE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html