Kritieke Fortra GoAnywhere-fout geëxploiteerd vóór openbaarmaking

Een kritiek beveiligingslek in Fortra GoAnywhere Managed File Transfer software werd actief misbruikt in het wild ten minste een week voor de openbaarmaking ervan, volgens cybersecurity onderzoekers van watchTowr Labs. De kwetsbaarheid, getraceerd als CVE-2025-10035, heeft de maximale ernstgraad van CVSS 10.0 en vormt een aanzienlijk risico voor organisaties die de populaire oplossing voor bestandsoverdracht gebruiken.

Bewijs van actieve uitbuiting vóór onthulling

Cyberbeveiligingsbedrijf watchTowr Labs onthulde geloofwaardig bewijs waaruit blijkt dat het GoAnywhere-probleem al op 10 september 2025 werd misbruikt, zeven dagen voordat het beveiligingslek publiekelijk werd bekendgemaakt. Deze tijdlijn geeft aanleiding tot ernstige bezorgdheid over de periode waarin de getroffen systemen onbeschermd bleven.

Benjamin Harris, CEO en oprichter van watchTowr, benadrukte de ernst van de situatie door op te merken dat dit niet zomaar een kritieke kwetsbaarheid in een veelgebruikte bedrijfsoplossing is, maar een die actief door dreigingsactoren als wapen is gebruikt. De software is van oudsher een doelwit voor geavanceerde persistente bedreigingsgroepen en ransomware-operators, waardoor deze ontdekking bijzonder alarmerend is voor beveiligingsteams.

Het bewijs van de exploitatie bevat stack-traces die de creatie van backdoor accounts laten zien, wat aantoont dat aanvallers geavanceerde methoden hadden ontwikkeld om aangetaste systemen te compromitteren voordat patches beschikbaar waren.

Technische details van CVE-2025-10035

De kwetsbaarheid is het gevolg van een fout in de deserialisatie in de License Servlet component van Fortra GoAnywhere MFT. Aanvallers kunnen deze zwakke plek misbruiken om opdrachtinjectie uit te voeren zonder authenticatie, waardoor het een extreem gevaarlijk beveiligingslek is.

Volgens de technische analyse van watchTowr bestaat de aanvalsvector uit het versturen van een speciaal ontworpen HTTP GET-verzoek naar het eindpunt "/goanywhere/license/Unlicensed.xhtml/". Dit maakt directe interactie mogelijk met de License Servlet component, specifiek gericht op "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" dat is blootgesteld aan "/goanywhere/lic/accept/<GUID>".

De volledige exploitatieketen is echter complexer dan aanvankelijk werd gedacht. De analyse van cyberbeveiligingsleverancier Rapid7 onthulde dat CVE-2025-10035 geen op zichzelf staande kwetsbaarheid is, maar onderdeel van een keten met drie afzonderlijke beveiligingsproblemen. Deze omvatten een omzeiling van de toegangscontrole die bekend is sinds 2023, de onveilige deserialisatiekwetsbaarheid zelf en een extra onbekend probleem met betrekking tot hoe aanvallers een specifieke privésleutel verkrijgen.

Aanvalsketen en activiteit van de dader

Het daaropvolgende onderzoek van WatchTowr bracht gedetailleerde informatie aan het licht over de manier waarop actoren van bedreigingen de kwetsbaarheid uitbuiten in echte aanvallen. De aanvalsreeks volgt een methodisch patroon dat is ontworpen om aanhoudende toegang te krijgen tot aangetaste systemen.

Eerst activeren aanvallers de pre-authenticatie kwetsbaarheid om op afstand code uit te voeren op het doelsysteem. Vervolgens gebruiken ze deze initiële toegang om een GoAnywhere gebruikersaccount aan te maken met de naam "admin-go", waarmee ze voet aan de grond krijgen binnen de applicatie. Met behulp van dit nieuwe account maken de aanvallers een webgebruiker aan, waarmee ze extra mogelijkheden krijgen om te communiceren met de oplossing.

Tot slot gebruiken de aanvallers de webgebruikersaccount om extra schadelijke payloads te uploaden en uit te voeren. Onderzoekers identificeerden verschillende tools die tijdens deze aanvallen werden ingezet, waaronder SimpleHelp en een onbekend implantaat genaamd "zato_be.exe". Deze meerfasenaanpak laat zien hoe geraffineerd de bedreigingsactoren zijn die deze kwetsbaarheid uitbuiten.

Interessant is dat de aanvalsactiviteit afkomstig was van het IP-adres 155.2.190.197, dat eerder werd gemarkeerd voor het uitvoeren van brute-force aanvallen op Fortinet FortiGate SSL VPN appliances begin augustus 2025, wat duidt op de betrokkenheid van georganiseerde bedreigingsactoren met verschillende targeting-capaciteiten.

Beperking en aanbevolen acties

Fortra reageerde op de onthulling van de kwetsbaarheid door vorige week gepatchte versies van GoAnywhere MFT uit te brengen. Organisaties met getroffen versies moeten onmiddellijk upgraden naar versie 7.8.4 of de Sustain Release 7.6.3 om het beveiligingslek te verhelpen.

Gezien het bevestigde bewijs van actieve uitbuiting in het wild, moeten beveiligingsteams deze update behandelen als een dringende prioriteit. Organisaties die niet onmiddellijk patches kunnen toepassen, moeten overwegen tijdelijke oplossingen te implementeren, zoals het beperken van netwerktoegang tot de GoAnywhere MFT-interface of het systeem achter extra beveiligingscontroles plaatsen.

Beveiligingsprofessionals moeten ook grondig forensisch onderzoek doen naar hun GoAnywhere MFT-systemen om te controleren op tekenen van compromittering. Aanwijzingen om naar te zoeken zijn onder andere onverwachte gebruikersaccounts, met name die met de naam "admin-go", ongebruikelijke activiteiten voor het aanmaken van webgebruikers en aanwijzingen voor het implementeren van SimpleHelp of onbekende uitvoerbare bestanden.

De kwetsbaarheid herinnert ons eraan hoe belangrijk het is om snel patches in te zetten, vooral voor oplossingen voor bestandsoverdracht via het internet, die vaak het doelwit zijn van geavanceerde bedreigers en ransomware-groepen. Organisaties die vertrouwen op GoAnywhere MFT voor beveiligde bestandsoverdracht moeten prioriteit geven aan de beveiligingsupdate om gevoelige gegevens te beschermen en mogelijke inbreuken te voorkomen.

BRON - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html