Kritická chyba ve službě Fortra GoAnywhere zneužitá před odhalením

Podle výzkumníků kybernetické bezpečnosti ze společnosti watchTowr Labs byla kritická bezpečnostní chyba v softwaru Fortra GoAnywhere Managed File Transfer aktivně zneužívána ve volné přírodě nejméně týden před jejím zveřejněním. Zranitelnost, sledovaná jako CVE-2025-10035, má maximální stupeň závažnosti CVSS 10.0 a představuje významné riziko pro organizace používající oblíbené řešení pro přenos souborů.

Důkazy o aktivním zneužívání před zveřejněním

Společnost watchTowr Labs zabývající se kybernetickou bezpečností odhalila věrohodné důkazy ukazující zneužití zranitelnosti GoAnywhere již 10. září 2025, tedy sedm dní před veřejným oznámením bezpečnostní chyby. Tato časová osa vyvolává vážné obavy ohledně okna zranitelnosti, během něhož zůstaly postižené systémy nechráněné.

Benjamin Harris, generální ředitel a zakladatel společnosti watchTowr, zdůraznil závažnost situace a poznamenal, že se nejedná pouze o kritickou zranitelnost v široce používaném podnikovém řešení, ale o zranitelnost, která byla aktivně zneužita aktéry hrozeb. Tento software byl v minulosti cílem skupin pokročilých trvalých hrozeb a provozovatelů ransomwaru, takže toto zjištění je pro bezpečnostní týmy obzvláště znepokojivé.

Důkazy o zneužití zahrnují stopy zásobníků ukazující vytvoření zadních vrátek, což dokazuje, že útočníci vyvinuli sofistikované metody kompromitace postižených systémů ještě předtím, než byly k dispozici záplaty.

Technické podrobnosti o CVE-2025-10035

Zranitelnost vychází z chyby deserializace v komponentě License Servlet systému Fortra GoAnywhere MFT. Útočníci mohou tuto slabinu zneužít k dosažení vstřikování příkazů , aniž by vyžadovali jakoukoli autentizaci, což z ní činí mimořádně nebezpečnou bezpečnostní mezeru.

Podle technické analýzy společnosti watchTowr zahrnuje vektor útoku odeslání speciálně vytvořeného požadavku HTTP GET na koncový bod "/goanywhere/license/Unlicensed.xhtml/". To umožňuje přímou interakci s komponentou License Servlet, konkrétně se zaměřuje na "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet", která je vystavena na adrese "/goanywhere/lic/accept/<GUID>".

Celý řetězec zneužití je však složitější, než se původně zdálo. Analýza dodavatele kybernetické bezpečnosti Rapid7 odhalila, že CVE-2025-10035 není samostatnou zranitelností, ale spíše součástí řetězce zahrnujícího tři samostatné bezpečnostní problémy. Patří mezi ně obcházení kontroly přístupu známé od roku 2023, samotná zranitelnost nebezpečné deserializace a další neznámý problém související se způsobem, jakým útočníci získají konkrétní soukromý klíč.

Útočný řetězec a činnost aktérů hrozby

Následné vyšetřování společnosti WatchTowr odhalilo podrobné informace o tom, jak aktéři hrozeb zneužívali tuto zranitelnost při reálných útocích. Sled útoků se řídí metodickým schématem, jehož cílem je vytvořit trvalý přístup k napadeným systémům.

Nejprve útočníci spustí zranitelnost před ověřením, aby dosáhli vzdáleného spuštění kódu v cílovém systému. Poté využijí tento počáteční přístup k vytvoření uživatelského účtu GoAnywhere s názvem "admin-go", čímž si vytvoří oporu v aplikaci. Pomocí tohoto nově vytvořeného účtu útočníci pokračují ve vytváření webového uživatele, který jim poskytuje další možnosti interakce s řešením.

Nakonec aktéři hrozby použijí webový uživatelský účet k nahrání a spuštění dalších škodlivých zátěží. Výzkumníci identifikovali několik nástrojů nasazených během těchto útoků, včetně SimpleHelp a neznámého implantátu s názvem "zato_be.exe". Tento vícestupňový přístup ukazuje na sofistikovanost aktérů hrozeb zneužívajících tuto zranitelnost.

Zajímavé je, že útočná aktivita pocházela z IP adresy 155.2.190.197, která byla již dříve označena za provádění útoků hrubou silou proti zařízením Fortinet FortiGate SSL VPN na začátku srpna 2025, což naznačuje zapojení organizovaných aktérů hrozeb s různými možnostmi cílení.

Zmírnění a doporučená opatření

Společnost Fortra reagovala na odhalení zranitelnosti vydáním opravené verze GoAnywhere MFT minulý týden. Organizace, které používají postižené verze, by měly neprodleně provést aktualizaci na verzi 7.8.4 nebo na verzi 7.6.3 Sustain Release, aby byla bezpečnostní chyba odstraněna.

Vzhledem k potvrzeným důkazům o aktivním zneužití ve volné přírodě by bezpečnostní týmy měly tuto aktualizaci považovat za mimořádnou prioritu. Organizace, které nemohou okamžitě aplikovat záplaty, by měly zvážit zavedení dočasných řešení, například omezení síťového přístupu k rozhraní GoAnywhere MFT nebo umístění systému za další bezpečnostní kontroly.

Bezpečnostní specialisté by také měli provést důkladné forenzní šetření svých systémů GoAnywhere MFT a zkontrolovat, zda nejsou přítomny známky kompromitace. Mezi indikátory, které je třeba hledat, patří neočekávané uživatelské účty, zejména ty s názvem "admin-go", neobvyklá aktivita vytváření webových uživatelů a důkazy o nasazení SimpleHelp nebo neznámých spustitelných souborů.

Tato zranitelnost je důraznou připomínkou důležitosti rychlého nasazení záplat, zejména u řešení pro přenos souborů přes internet, která jsou často cílem útoků pokročilých hrozeb a skupin ransomwaru. Organizace, které se spoléhají na GoAnywhere MFT pro bezpečné přenosy souborů, musí upřednostnit bezpečnostní aktualizaci, aby ochránily citlivá data a zabránily potenciálnímu narušení.

ZDROJ - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html