Falla critica di Fortra GoAnywhere sfruttata prima della sua divulgazione

Secondo i ricercatori di sicurezza informatica di watchTowr Labs, una vulnerabilità di sicurezza critica nel software Fortra GoAnywhere Managed File Transfer è stata attivamente sfruttata in natura almeno una settimana prima della sua divulgazione pubblica. La vulnerabilità, classificata come CVE-2025-10035, ha il massimo grado di gravità di CVSS 10.0 e presenta rischi significativi per le organizzazioni che utilizzano la popolare soluzione di trasferimento file.

Prove di sfruttamento attivo prima della divulgazione

La società di sicurezza informatica watchTowr Labs ha rivelato prove credibili che dimostrano lo sfruttamento della vulnerabilità di GoAnywhere a partire dal 10 settembre 2025, sette giorni prima che la falla di sicurezza fosse annunciata pubblicamente. Questa tempistica solleva serie preoccupazioni sulla finestra di vulnerabilità durante la quale i sistemi interessati sono rimasti non protetti.

Benjamin Harris, CEO e fondatore di watchTowr, ha sottolineato la gravità della situazione, osservando che non si tratta semplicemente di una vulnerabilità critica in una soluzione aziendale ampiamente utilizzata, ma di una vulnerabilità che è stata attivamente sfruttata dagli attori delle minacce. Il software è stato storicamente un obiettivo per gruppi di minacce persistenti avanzate e operatori di ransomware, rendendo questa scoperta particolarmente allarmante per i team di sicurezza.

Le prove di sfruttamento includono tracce di stack che mostrano la creazione di account backdoor, dimostrando che gli aggressori hanno sviluppato metodi sofisticati per compromettere i sistemi interessati prima che fossero disponibili le patch.

Dettagli tecnici di CVE-2025-10035

La vulnerabilità deriva da un difetto di deserializzazione nel componente License Servlet di Fortra GoAnywhere MFT. Gli aggressori possono sfruttare questa debolezza per ottenere l'iniezione di comandi senza richiedere alcuna autenticazione, rendendola una falla di sicurezza estremamente pericolosa.

Secondo l'analisi tecnica di watchTowr, il vettore di attacco prevede l'invio di una richiesta HTTP GET appositamente creata all'endpoint "/goanywhere/license/Unlicensed.xhtml/". Ciò consente l'interazione diretta con il componente License Servlet, in particolare con "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet", esposto a "/goanywhere/lic/accept/<GUID>".

Tuttavia, la catena di sfruttamento completa è più complessa di quanto inizialmente previsto. L'analisi del fornitore di sicurezza informatica Rapid7 ha rivelato che CVE-2025-10035 non è una vulnerabilità a sé stante, ma piuttosto parte di una catena che coinvolge tre problemi di sicurezza separati. Questi includono un bypass del controllo degli accessi noto dal 2023, la vulnerabilità di deserializzazione non sicura in sé e un ulteriore problema sconosciuto legato al modo in cui gli aggressori ottengono una specifica chiave privata.

Catena di attacco e attività degli attori della minaccia

La successiva indagine di WatchTowr ha portato alla luce informazioni dettagliate su come gli attori delle minacce hanno sfruttato la vulnerabilità negli attacchi del mondo reale. La sequenza di attacco segue uno schema metodico progettato per stabilire un accesso persistente ai sistemi compromessi.

In primo luogo, gli aggressori attivano la vulnerabilità di pre-autenticazione per ottenere l'esecuzione di codice remoto sul sistema di destinazione. Quindi sfruttano questo accesso iniziale per creare un account utente GoAnywhere denominato "admin-go", stabilendo così il proprio punto d'appoggio all'interno dell'applicazione. Utilizzando questo account appena creato, gli aggressori procedono alla creazione di un utente Web, che fornisce loro ulteriori capacità di interazione con la soluzione.

Infine, gli attori delle minacce utilizzano l'account utente Web per caricare ed eseguire ulteriori payload dannosi. I ricercatori hanno identificato diversi strumenti utilizzati durante questi attacchi, tra cui SimpleHelp e un impianto sconosciuto chiamato "zato_be.exe". Questo approccio in più fasi dimostra la sofisticazione degli attori delle minacce che sfruttano questa vulnerabilità.

È interessante notare che l'attività di attacco ha avuto origine dall'indirizzo IP 155.2.190.197, già segnalato in precedenza per aver condotto attacchi brute-force contro le appliance Fortinet FortiGate SSL VPN all'inizio di agosto 2025, il che suggerisce il coinvolgimento di attori delle minacce organizzati con diverse capacità di targeting.

Attenuazione e azioni consigliate

Fortra ha risposto alla divulgazione della vulnerabilità rilasciando la scorsa settimana delle versioni patchate di GoAnywhere MFT. Le organizzazioni che utilizzano le versioni interessate devono aggiornare immediatamente alla versione 7.8.4 o alla release di supporto 7.6.3 per correggere la falla di sicurezza.

Considerate le prove confermate di sfruttamento attivo in natura, i team di sicurezza devono considerare questo aggiornamento come una priorità di emergenza. Le organizzazioni che non possono applicare immediatamente le patch devono prendere in considerazione l'implementazione di soluzioni temporanee, come la limitazione dell'accesso alla rete all'interfaccia MFT di GoAnywhere o il posizionamento del sistema dietro ulteriori controlli di sicurezza.

I professionisti della sicurezza dovrebbero anche condurre indagini forensi approfondite sui loro sistemi MFT GoAnywhere per verificare la presenza di segni di compromissione. Gli indicatori da ricercare includono account utente inaspettati, in particolare quelli denominati "admin-go", attività insolite di creazione di utenti web e prove di distribuzioni di SimpleHelp o di eseguibili sconosciuti.

La vulnerabilità serve a ricordare l'importanza di una rapida distribuzione delle patch, soprattutto per le soluzioni di trasferimento file rivolte a Internet, spesso prese di mira da attori di minacce avanzate e gruppi di ransomware. Le organizzazioni che si affidano a GoAnywhere MFT per il trasferimento sicuro di file devono dare priorità all'aggiornamento della sicurezza per proteggere i dati sensibili e prevenire potenziali violazioni.

FONTE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html