Kriittinen Fortra GoAnywhere -virhe hyödynnetty ennen julkistamista

Fortra GoAnywhere Managed File Transfer -ohjelmiston kriittistä tietoturva-aukkoa hyödynnettiin aktiivisesti luonnossa ainakin viikkoa ennen sen julkistamista, kertovat watchTowr Labsin kyberturvallisuustutkijat. Haavoittuvuus, joka tunnetaan nimellä CVE-2025-10035, on vakavuusluokitukseltaan enintään CVSS 10.0, ja se aiheuttaa merkittäviä riskejä organisaatioille, jotka käyttävät suosittua tiedostonsiirtoratkaisua.

Todisteet aktiivisesta hyödyntämisestä ennen julkistamista.

Kyberturvallisuusyritys watchTowr Labs paljasti uskottavia todisteita GoAnywhere-haavoittuvuuden hyväksikäytöstä jo 10. syyskuuta 2025 eli seitsemän päivää ennen tietoturva-aukon julkista julkistamista. Tämä aikajana herättää vakavaa huolta haavoittuvuusikkunasta, jonka aikana kyseiset järjestelmät pysyivät suojaamattomina.

WatchTowrin toimitusjohtaja ja perustaja Benjamin Harris korosti tilanteen vakavuutta ja totesi, että kyseessä ei ole pelkästään kriittinen haavoittuvuus laajalti käytetyssä yritysratkaisussa, vaan uhkatoimijat ovat käyttäneet sitä aktiivisesti aseena. Ohjelmisto on historiallisesti ollut kehittyneiden pysyvien uhkaryhmien ja lunnasohjelmatoimijoiden kohteena, joten tämä löytö on erityisen hälyttävä tietoturvaryhmille.

Hyödyntämistä koskevat todisteet sisältävät pinojälkiä, joissa näkyy takaovitilien luominen, mikä osoittaa, että hyökkääjät olivat kehittäneet kehittyneitä menetelmiä, joilla he pystyivät vaarantamaan kyseiset järjestelmät ennen kuin korjaukset tulivat saataville.

CVE-2025-10035:n tekniset tiedot

Haavoittuvuus johtuu deserialisointivirheestä Fortra GoAnywhere MFT:n License Servlet -komponentissa. Hyökkääjät voivat hyödyntää tätä heikkoutta komentojen injektointiin ilman todennusta, mikä tekee siitä erittäin vaarallisen tietoturva-aukon.

WatchTowrin teknisen analyysin mukaan hyökkäysvektoriin kuuluu erityisesti muotoillun HTTP GET -pyynnön lähettäminen "/goanywhere/license/Unlicensed.xhtml/" -päätepisteeseen. Tämä mahdollistaa suoran vuorovaikutuksen License Servlet -komponentin kanssa, erityisesti kohdistuen "com.linoma.ga.ui.admin.servlet.LicenseResponseServletiin", joka on alttiina osoitteessa "/goanywhere/lic/accept/<GUID>".

Koko hyväksikäyttöketju on kuitenkin monimutkaisempi kuin aluksi ymmärrettiin. Kyberturvallisuuden toimittaja Rapid7:n analyysi paljasti, että CVE-2025-10035 ei ole itsenäinen haavoittuvuus vaan osa ketjua, johon kuuluu kolme erillistä tietoturvaongelmaa. Näihin kuuluvat vuodesta 2023 lähtien tunnettu pääsynvalvonnan ohitus, itse epävarma deserialisointihaavoittuvuus ja toinen tuntematon ongelma, joka liittyy siihen, miten hyökkääjät saavat tietyn yksityisen avaimen.

Hyökkäysketju ja uhkaajien toiminta

WatchTowrin myöhemmässä tutkimuksessa paljastui yksityiskohtaista tietoa siitä, miten uhkaajat hyödynsivät haavoittuvuutta todellisissa hyökkäyksissä. Hyökkäysketju noudattaa metodista kaavaa, jonka tarkoituksena on luoda pysyvä pääsy vaarantuneisiin järjestelmiin.

Ensin hyökkääjät laukaisevat auktorisointia edeltävän haavoittuvuuden saadakseen etäkoodin suoritettua kohdejärjestelmässä. Tämän jälkeen he käyttävät tätä alustavaa pääsyä luodakseen GoAnywhere-käyttäjätilin nimeltä "admin-go" ja luodakseen jalansijaa sovelluksessa. Käyttämällä tätä äskettäin luotua tiliä hyökkääjät luovat verkkokäyttäjän, joka antaa heille lisää mahdollisuuksia toimia vuorovaikutuksessa ratkaisun kanssa.

Lopuksi uhkaajat käyttävät verkkokäyttäjätiliä ladatakseen ja toteuttaakseen lisää haitallisia hyötykuormia. Tutkijat tunnistivat useita näiden hyökkäysten aikana käytettyjä työkaluja, mukaan lukien SimpleHelp ja tuntematon implantti nimeltä "zato_be.exe". Tämä monivaiheinen lähestymistapa osoittaa, kuinka kehittyneitä uhkaajat ovat hyödyntäneet tätä haavoittuvuutta.

Mielenkiintoista on, että hyökkäystoiminta oli peräisin IP-osoitteesta 155.2.190.197, joka on aiemmin merkitty suorittamaan brute-force-hyökkäyksiä Fortinet FortiGate SSL VPN -laitteita vastaan elokuun alussa 2025, mikä viittaa siihen, että mukana oli järjestäytyneitä uhkatoimijoita, joilla on monipuoliset kohdentamisvalmiudet.

Vaikutusten lieventäminen ja suositellut toimet

Fortra reagoi haavoittuvuuden paljastumiseen julkaisemalla GoAnywhere MFT:n korjattuja versioita viime viikolla. Organisaatioiden, joissa on käytössä kyseiset versiot, tulisi päivittää välittömästi versioon 7.8.4 tai Sustain Release 7.6.3 tietoturva-aukon korjaamiseksi.

Kun otetaan huomioon vahvistetut todisteet aktiivisesta hyväksikäytöstä luonnossa, tietoturvaryhmien tulisi käsitellä tätä päivitystä kiireellisenä prioriteettina. Organisaatioiden, jotka eivät voi soveltaa korjauksia välittömästi, tulisi harkita väliaikaisten kiertotapojen käyttöönottoa, kuten GoAnywhere MFT -käyttöliittymän verkkoyhteyden rajoittamista tai järjestelmän sijoittamista ylimääräisten suojausvalvontojen taakse.

Tietoturva-asiantuntijoiden tulisi myös tehdä GoAnywhere MFT -järjestelmiinsä perusteellisia rikosteknisiä tutkimuksia, jotta voidaan löytää merkkejä vaarantumisesta. Etsittäviä merkkejä ovat esimerkiksi odottamattomat käyttäjätilit, erityisesti käyttäjätilit, joiden nimi on "admin-go", epätavallinen verkkokäyttäjien luomistoiminta ja todisteet SimpleHelp- tai tuntemattomien suoritettavien ohjelmien käyttöönotosta.

Haavoittuvuus on selkeä muistutus korjausten nopean käyttöönoton tärkeydestä, erityisesti internetissä toimivissa tiedostojensiirtoratkaisuissa, jotka ovat usein kehittyneiden uhkaajien ja lunnasohjelmaryhmien kohteena. Organisaatioiden, jotka luottavat GoAnywhere MFT:hen turvallisessa tiedostojen siirrossa, on asetettava tietoturvapäivitys etusijalle suojellakseen arkaluonteisia tietoja ja estääkseen mahdolliset tietoturvaloukkaukset.

LÄHDE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html