Fallo crítico de Fortra GoAnywhere explotado antes de su divulgación

Una vulnerabilidad de seguridad crítica en el software Fortra GoAnywhere Managed File Transfer fue explotada activamente en la naturaleza al menos una semana antes de su divulgación pública, según investigadores de ciberseguridad de watchTowr Labs. La vulnerabilidad, rastreada como CVE-2025-10035, tiene la máxima calificación de gravedad CVSS 10.0 y plantea riesgos significativos para las organizaciones que utilizan la popular solución de transferencia de archivos.

Pruebas de explotación activa antes de la divulgación

La empresa de ciberseguridad watchTowr Labs ha revelado pruebas creíbles que demuestran la explotación de la vulnerabilidad de GoAnywhere desde el 10 de septiembre de 2025, siete días antes de que se anunciara públicamente el fallo de seguridad. Esta cronología plantea serias dudas sobre la ventana de vulnerabilidad durante la cual los sistemas afectados permanecieron desprotegidos.

Benjamin Harris, CEO y fundador de watchTowr, subrayó la gravedad de la situación, señalando que no se trata simplemente de una vulnerabilidad crítica en una solución empresarial ampliamente utilizada, sino de una que ha sido utilizada activamente como arma por los actores de amenazas. El software ha sido históricamente un objetivo para los grupos de amenazas persistentes avanzadas y los operadores de ransomware, por lo que este descubrimiento es particularmente alarmante para los equipos de seguridad.

Las pruebas de explotación incluyen rastros de pila que muestran la creación de cuentas de puerta trasera, lo que demuestra que los atacantes habían desarrollado métodos sofisticados para comprometer los sistemas afectados antes de que los parches estuvieran disponibles.

Detalles técnicos de CVE-2025-10035

La vulnerabilidad tiene su origen en un fallo de deserialización en el componente License Servlet de Fortra GoAnywhere MFT. Los atacantes pueden explotar esta debilidad para lograr la inyección de comandos sin requerir ningún tipo de autenticación, lo que la convierte en una brecha de seguridad extremadamente peligrosa.

Según el análisis técnico de watchTowr, el vector de ataque implica el envío de una solicitud HTTP GET especialmente diseñada al punto final "/goanywhere/license/Unlicensed.xhtml/". Esto permite la interacción directa con el componente License Servlet, específicamente apuntando a "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" que está expuesto en "/goanywhere/lic/accept/<GUID>".

Sin embargo, la cadena de explotación completa es más compleja de lo que se pensaba en un principio. El análisis del proveedor de ciberseguridad Rapid7 reveló que CVE-2025-10035 no es una vulnerabilidad independiente, sino que forma parte de una cadena en la que intervienen tres problemas de seguridad distintos. Entre ellos se incluye una desviación del control de acceso conocida desde 2023, la propia vulnerabilidad de deserialización insegura y un problema adicional desconocido relacionado con la forma en que los atacantes obtienen una clave privada específica.

Cadena de ataque y actividad de los actores de la amenaza

La investigación posterior de WatchTowr descubrió información detallada sobre cómo los actores de la amenaza explotaron la vulnerabilidad en ataques del mundo real. La secuencia de ataque sigue un patrón metódico diseñado para establecer un acceso persistente a los sistemas comprometidos.

En primer lugar, los atacantes activan la vulnerabilidad de preautenticación para lograr la ejecución remota de código en el sistema objetivo. A continuación, aprovechan este acceso inicial para crear una cuenta de usuario GoAnywhere llamada "admin-go", estableciendo su posición dentro de la aplicación. Utilizando esta cuenta recién creada, los atacantes proceden a crear un usuario web, que les proporciona capacidades adicionales para interactuar con la solución.

Por último, utilizan la cuenta de usuario web para cargar y ejecutar cargas maliciosas adicionales. Los investigadores identificaron varias herramientas desplegadas durante estos ataques, incluyendo SimpleHelp y un implante desconocido llamado "zato_be.exe". Este enfoque multietapa demuestra la sofisticación de los actores de la amenaza que explotan esta vulnerabilidad.

Curiosamente, la actividad de ataque se originó desde la dirección IP 155.2.190.197, que ya había sido señalada anteriormente por realizar ataques de fuerza bruta contra dispositivos Fortinet FortiGate SSL VPN a principios de agosto de 2025, lo que sugiere la participación de actores de amenazas organizados con diversas capacidades de ataque.

Mitigación y acciones recomendadas

Fortra respondió a la revelación de la vulnerabilidad lanzando versiones parcheadas de GoAnywhere MFT la semana pasada. Las organizaciones que ejecutan las versiones afectadas deben actualizar inmediatamente a la versión 7.8.4 o la versión de soporte 7.6.3 para corregir el fallo de seguridad.

Dada la evidencia confirmada de explotación activa en la naturaleza, los equipos de seguridad deben tratar esta actualización como una prioridad de emergencia. Las organizaciones que no puedan aplicar inmediatamente los parches deben considerar la implementación de soluciones temporales, como restringir el acceso de red a la interfaz GoAnywhere MFT o colocar el sistema detrás de controles de seguridad adicionales.

Los profesionales de la seguridad también deben llevar a cabo investigaciones forenses exhaustivas de sus sistemas GoAnywhere MFT para buscar signos de compromiso. Entre los indicadores que deben buscarse se incluyen cuentas de usuario inesperadas, en particular las denominadas "admin-go", actividad inusual de creación de usuarios web y evidencia de SimpleHelp o despliegues de ejecutables desconocidos.

Esta vulnerabilidad nos recuerda la importancia de instalar rápidamente los parches, especialmente en el caso de las soluciones de transferencia de archivos a través de Internet, que suelen ser el blanco de amenazas avanzadas y grupos de ransomware. Las organizaciones que confían en GoAnywhere MFT para las transferencias seguras de archivos deben dar prioridad a la actualización de seguridad para proteger los datos confidenciales y evitar posibles infracciones.

FUENTE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html