Kritična ranjivost Fortra GoAnywhere iskorištena prije objave

Kritična sigurnosna ranjivost u Fortra GoAnywhere Managed File Transfer softveru aktivno je iskorištavana u stvarnom svijetu barem tjedan dana prije javnog objavljivanja, prema istraživačima kibernetičke sigurnosti iz watchTowr Labs. Ranjivost, označena kao CVE-2025-10035, nosi maksimalnu ocjenu ozbiljnosti CVSS 10.0 i predstavlja značajne rizike za organizacije koje koriste popularno rješenje za prijenos datoteka.

Dokazi o aktivnom iskorištavanju prije objave

Tvrtka za kibernetičku sigurnost watchTowr Labs otkrila je vjerodostojne dokaze koji pokazuju iskorištavanje GoAnywhere ranjivosti još od 10. rujna 2025., sedam dana prije nego što je sigurnosni propust javno objavljen. Ovaj vremenski okvir izaziva ozbiljne zabrinutosti zbog razdoblja ranjivosti tijekom kojeg su pogođeni sustavi ostali nezaštićeni.

Benjamin Harris, CEO i osnivač watchTowr, naglasio je ozbiljnost situacije, ističući da se ne radi samo o kritičnoj ranjivosti u široko korištenom enterprise rješenju, već o ranjivosti koju su aktivno iskoristili napadači. Softver je povijesno bio meta naprednih grupa za trajne prijetnje i operatera ransomwarea, što ovo otkriće čini posebno alarmantnim za sigurnosne timove.

Dokazi iskorištavanja uključuju stack traceove koji pokazuju kreiranje backdoor računa, što demonstrira da su napadači razvili sofisticirane metode kompromitacije pogođenih sustava prije nego što su dostupni zakrpe.

Tehnički detalji CVE-2025-10035

Ranjivost proizlazi iz greške u deserializaciji u License Servlet komponenti Fortra GoAnywhere MFT. Napadači mogu iskoristiti ovu slabost za injektiranje naredbi bez potrebe za autentifikacijom, što je čini iznimno opasnim sigurnosnim propustom.

Prema tehničkoj analizi watchTowr, vektor napada uključuje slanje posebno oblikovanog HTTP GET zahtjeva na "/goanywhere/license/Unlicensed.xhtml/" endpoint. To omogućuje izravnu interakciju s License Servlet komponentom, posebno ciljanjem "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" koji je izložen na "/goanywhere/lic/accept/<GUID>".

Međutim, potpuni lanac iskorištavanja je složeniji nego što se prvotno razumjelo. Analiza sigurnosnog dobavljača Rapid7 otkrila je da CVE-2025-10035 nije samostalna ranjivost, već dio lanca koji uključuje tri odvojena sigurnosna problema. To uključuje zaobilaženje kontrole pristupa poznato od 2023., samu ranjivost u nesigurnoj deserializaciji, te dodatni nepoznati problem vezan uz način na koji napadači dobivaju određeni privatni ključ.

Lanac napada i aktivnost prijetnji

Naknadna istraga watchTowr otkrila je detaljne informacije o tome kako su prijetnje iskoristile ranjivost u stvarnim napadima. Sekvenca napada slijedi metodičan obrazac dizajniran za uspostavljanje trajnog pristupa kompromitiranim sustavima.

Prvo, napadači aktiviraju ranjivost prije autentifikacije kako bi postigli izvršavanje udaljenog koda na ciljnom sustavu. Zatim koriste ovaj početni pristup za kreiranje GoAnywhere korisničkog računa nazvanog "admin-go", uspostavljajući svoj pristup unutar aplikacije. Koristeći ovaj novokreirani račun, napadači nastavljaju s kreiranjem web korisnika, što im pruža dodatne mogućnosti za interakciju s rješenjem.

Na kraju, prijetnje koriste web korisnički račun za prijenos i izvršavanje dodatnih zlonamjernih payloadova. Istraživači su identificirali nekoliko alata korištenih tijekom ovih napada, uključujući SimpleHelp i nepoznati implant nazvan "zato_be.exe." Ovaj višestupanjski pristup pokazuje sofisticiranost prijetnji koje iskorištavaju ovu ranjivost.

Zanimljivo je da je aktivnost napada potekla s IP adrese 155.2.190.197, koja je ranije označena zbog provođenja brute-force napada na Fortinet FortiGate SSL VPN uređaje početkom kolovoza 2025., što sugerira uključenost organiziranih prijetnji s raznolikim mogućnostima ciljanog djelovanja.

Ublažavanje i preporučene mjere

Fortra je odgovorila na objavu ranjivosti izdavanjem zakrpanih verzija GoAnywhere MFT prošlog tjedna. Organizacije koje koriste pogođene verzije trebaju odmah nadograditi na verziju 7.8.4 ili Sustain Release 7.6.3 kako bi otklonile sigurnosni propust.

S obzirom na potvrđene dokaze o aktivnom iskorištavanju u stvarnom svijetu, sigurnosni timovi trebaju ovaj update tretirati kao hitni prioritet. Organizacije koje ne mogu odmah primijeniti zakrpe trebale bi razmotriti privremene zaobilazne mjere, poput ograničavanja mrežnog pristupa GoAnywhere MFT sučelju ili postavljanja sustava iza dodatnih sigurnosnih kontrola.

Sigurnosni stručnjaci također bi trebali provesti temeljite forenzičke preglede svojih GoAnywhere MFT sustava kako bi provjerili znakove kompromitacije. Indikatori na koje treba obratiti pažnju uključuju neočekivane korisničke račune, posebno one nazvane "admin-go," neuobičajenu aktivnost kreiranja web korisnika te dokaze o implementaciji SimpleHelp ili nepoznatih izvršnih datoteka.

Ranjivost je oštra opomena o važnosti brze primjene zakrpa, osobito za rješenja za prijenos datoteka izložena internetu koja su često meta naprednih prijetnji i ransomware grupa. Organizacije koje se oslanjaju na GoAnywhere MFT za siguran prijenos datoteka moraju prioritetno provesti sigurnosnu nadogradnju kako bi zaštitile osjetljive podatke i spriječile potencijalne proboje.

IZVOR - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html