Kritikus Fortra GoAnywhere hiba, amelyet a nyilvánosságra hozatal előtt kihasználtak

A Fortra GoAnywhere Managed File Transfer szoftver kritikus biztonsági rését a watchTowr Labs kiberbiztonsági kutatói szerint legalább egy héttel a nyilvánosságra hozatal előtt aktívan kihasználták a vadonban. A CVE-2025-10035 néven nyomon követett sebezhetőség a CVSS 10.0 maximális súlyossági besorolást viseli, és jelentős kockázatot jelent a népszerű fájlátviteli megoldást használó szervezetek számára.

Aktív kihasználás bizonyítékai a nyilvánosságra hozatal előtt

A watchTowr Labs kiberbiztonsági cég hiteles bizonyítékokat tárt fel a GoAnywhere sebezhetőség kihasználására vonatkozóan, amelyek 2025. szeptember 10-re nyúlnak vissza, hét nappal a biztonsági hiba nyilvános bejelentése előtt. Ez az idővonal komoly aggályokat vet fel a sebezhetőség azon ablakával kapcsolatban, amely alatt az érintett rendszerek védtelenek maradtak.

Benjamin Harris, a watchTowr vezérigazgatója és alapítója hangsúlyozta a helyzet súlyosságát, megjegyezve, hogy nem egyszerűen egy széles körben használt vállalati megoldás kritikus sebezhetőségéről van szó, hanem olyanról, amelyet a fenyegető szereplők aktívan fegyverként használtak fel. A szoftver történelmileg a fejlett, tartós fenyegető csoportok és a zsarolóvírusok üzemeltetőinek célpontja volt, így ez a felfedezés különösen riasztó a biztonsági csapatok számára.

A kihasználás bizonyítékai között szerepelnek a backdoor-fiókok létrehozását bemutató stack-nyomok, amelyek azt bizonyítják, hogy a támadók kifinomult módszereket dolgoztak ki az érintett rendszerek kompromittálására, mielőtt a javítások elérhetővé váltak volna.

A CVE-2025-10035 technikai részletei

A sebezhetőség a Fortra GoAnywhere MFT License Servlet komponensének deserializációs hibájából ered. A támadók ezt a gyengeséget kihasználva mindenféle hitelesítés nélkül tudnak parancsinjekciót végrehajtani , ami rendkívül veszélyes biztonsági rést jelent.

A watchTowr technikai elemzése szerint a támadási vektor egy speciálisan kialakított HTTP GET-kérelem küldését jelenti a "/goanywhere/license/Unlicensed.xhtml/" végpontra. Ez lehetővé teszi a közvetlen interakciót a License Servlet komponenssel, konkrétan a "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet"-et veszi célba, amely a "/goanywhere/lic/accept/<GUID>" címen van kitéve.

A teljes kihasználási lánc azonban összetettebb, mint ahogyan azt kezdetben gondoltuk. A Rapid7 kiberbiztonsági szolgáltató elemzése kimutatta, hogy a CVE-2025-10035 nem egy önálló sebezhetőség, hanem egy három különálló biztonsági problémát magában foglaló lánc része. Ezek közé tartozik egy 2023 óta ismert hozzáférés-vezérlés megkerülése, maga a nem biztonságos deserializációs sebezhetőség, valamint egy további ismeretlen probléma, amely azzal kapcsolatos, hogy a támadók hogyan jutnak hozzá egy adott privát kulcshoz.

Támadási lánc és a fenyegető szereplők tevékenysége

A WatchTowr ezt követő vizsgálata részletes információkat tárt fel arról, hogy a fenyegető szereplők hogyan használták ki a sebezhetőséget valós támadásokban. A támadássorozat egy módszertani mintát követ, amelynek célja, hogy tartós hozzáférést biztosítson a megtámadott rendszerekhez.

Először a támadók a hitelesítés előtti sebezhetőséget váltják ki, hogy távoli kódfuttatást érjenek el a célrendszeren. Ezt követően ezt a kezdeti hozzáférést kihasználva létrehoznak egy GoAnywhere felhasználói fiókot "admin-go" néven, ezzel megvetve a lábukat az alkalmazáson belül. Az újonnan létrehozott fiókot használva a támadók létrehoznak egy webes felhasználót, amely további képességeket biztosít számukra a megoldással való interakcióhoz.

Végül a fenyegető szereplők a webes felhasználói fiókot további rosszindulatú hasznos terhek feltöltésére és végrehajtására használják. A kutatók több, e támadások során bevetett eszközt azonosítottak, köztük a SimpleHelp és egy ismeretlen "zato_be.exe" nevű implantátumot. Ez a többlépcsős megközelítés jól mutatja a sebezhetőséget kihasználó fenyegető szereplők kifinomultságát.

Érdekes módon a támadási tevékenység a 155.2.190.197-es IP-címről indult, amelyet korábban már 2025 augusztus elején jeleztek a Fortinet FortiGate SSL VPN készülékek elleni brute-force támadások végrehajtására, ami arra utal, hogy szervezett, változatos célzási képességekkel rendelkező fenyegető szereplők közreműködésére utal.

Védekezés és ajánlott intézkedések

A Fortra a GoAnywhere MFT javított verzióinak múlt heti kiadásával reagált a sebezhetőség közzétételére. Az érintett verziókat futtató szervezeteknek azonnal frissíteniük kell a 7.8.4-es verzióra vagy a Sustain Release 7.6.3-ra a biztonsági hiba orvoslása érdekében.

Tekintettel arra, hogy megerősített bizonyíték van a vadonban történő aktív kihasználásra, a biztonsági csapatoknak sürgősségi prioritásként kell kezelniük ezt a frissítést. Azoknak a szervezeteknek, amelyek nem tudják azonnal alkalmazni a javításokat, meg kell fontolniuk ideiglenes megoldások bevezetését, például a GoAnywhere MFT felületéhez való hálózati hozzáférés korlátozását vagy a rendszer további biztonsági ellenőrzések mögé helyezését.

A biztonsági szakembereknek alapos törvényszéki vizsgálatokat is el kell végezniük a GoAnywhere MFT-rendszereikben, hogy ellenőrizzék a veszélyeztetettség jeleit. A keresendő jelek közé tartoznak a váratlan felhasználói fiókok, különösen az "admin-go" nevűek, a szokatlan webes felhasználói létrehozási tevékenység, valamint a SimpleHelp vagy ismeretlen futtatható fájlok telepítésének bizonyítékai.

A sebezhetőség éles emlékeztetőül szolgál a gyors javítások telepítésének fontosságára, különösen az internetre néző fájlátviteli megoldások esetében, amelyeket gyakran vesznek célba fejlett fenyegető szereplők és zsarolóprogram-csoportok. A GoAnywhere MFT biztonságos fájlátvitelre támaszkodó szervezeteknek prioritásként kell kezelniük a biztonsági frissítést az érzékeny adatok védelme és az esetleges jogsértések megelőzése érdekében.

FORRÁS - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html