Kritisk Fortra GoAnywhere-feil utnyttet før avsløring

Et kritisk sikkerhetshull i Fortra GoAnywhere Managed File Transfer-programvaren ble aktivt utnyttet i naturen minst en uke før det ble offentliggjort, ifølge cybersikkerhetsforskere ved watchTowr Labs. Sårbarheten, sporet som CVE-2025-10035, har den maksimale alvorlighetsgraden CVSS 10.0 og utgjør en betydelig risiko for organisasjoner som bruker den populære filoverføringsløsningen.

Bevis på aktiv utnyttelse før avsløring

Cybersikkerhetsfirmaet watchTowr Labs har avslørt troverdige bevis som viser utnyttelse av GoAnywhere-sårbarheten helt tilbake til 10. september 2025, syv dager før sikkerhetsfeilen ble offentliggjort. Denne tidslinjen gir grunn til alvorlig bekymring når det gjelder sårbarhetsvinduet der berørte systemer forble ubeskyttet.

Benjamin Harris, administrerende direktør og grunnlegger av watchTowr, understreket alvoret i situasjonen, og bemerket at dette ikke bare er en kritisk sårbarhet i en mye brukt bedriftsløsning, men en som aktivt har blitt brukt som våpen av trusselaktører. Programvaren har historisk sett vært et mål for avanserte, vedvarende trusselgrupper og ransomware-operatører, noe som gjør denne oppdagelsen spesielt alarmerende for sikkerhetsteam.

Utnyttelsesbevisene inkluderer stakkspor som viser opprettelsen av bakdørskontoer, noe som viser at angriperne hadde utviklet sofistikerte metoder for å kompromittere berørte systemer før oppdateringer ble tilgjengelige.

Tekniske detaljer om CVE-2025-10035

Sårbarheten stammer fra en deserialiseringsfeil i License Servlet-komponenten i Fortra GoAnywhere MFT. Angripere kan utnytte denne svakheten til å injisere kommandoer uten at det kreves autentisering, noe som gjør det til et ekstremt farlig sikkerhetshull.

Ifølge watchTowrs tekniske analyse innebærer angrepsvektoren å sende en spesielt utformet HTTP GET-forespørsel til endepunktet "/goanywhere/license/Unlicensed.xhtml/". Dette tillater direkte interaksjon med License Servlet-komponenten, spesielt rettet mot "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" som er eksponert på "/goanywhere/lic/accept/<GUID>".

Hele utnyttelseskjeden er imidlertid mer kompleks enn først antatt. Cybersikkerhetsleverandøren Rapid7s analyse avslørte at CVE-2025-10035 ikke er en frittstående sårbarhet, men snarere en del av en kjede som involverer tre separate sikkerhetsproblemer. Disse inkluderer en omgåelse av tilgangskontroll som har vært kjent siden 2023, selve sårbarheten for usikker deserialisering og et ytterligere ukjent problem knyttet til hvordan angriperne får tak i en spesifikk privat nøkkel.

Angrepskjede og trusselaktørens aktivitet

WatchTowrs påfølgende etterforskning avdekket detaljert informasjon om hvordan trusselaktører utnyttet sårbarheten i virkelige angrep. Angrepssekvensen følger et metodisk mønster som er utformet for å etablere vedvarende tilgang til kompromitterte systemer.

Først utløser angriperne sårbarheten før autentisering for å oppnå ekstern kjøring av kode på målsystemet. Deretter utnytter de denne første tilgangen til å opprette en GoAnywhere-brukerkonto med navnet "admin-go", og etablerer fotfeste i applikasjonen. Ved hjelp av denne nyopprettede kontoen fortsetter angriperne med å opprette en nettbruker, noe som gir dem flere muligheter til å samhandle med løsningen.

Til slutt bruker trusselaktørene nettbrukerkontoen til å laste opp og kjøre ytterligere ondsinnet nyttelast. Forskerne identifiserte flere verktøy som ble brukt under disse angrepene, blant annet SimpleHelp og et ukjent implantat kalt "zato_be.exe". Denne flertrinns tilnærmingen viser hvor sofistikerte trusselaktørene som utnytter denne sårbarheten er.

Interessant nok stammer angrepsaktiviteten fra IP-adressen 155.2.190.197, som tidligere har blitt flagget for å ha utført brute-force-angrep mot Fortinet FortiGate SSL VPN-apparater i begynnelsen av august 2025, noe som tyder på at organiserte trusselaktører med ulike målrettingskapasiteter var involvert.

Avbøtende tiltak og anbefalte handlinger

Fortra reagerte på avsløringen av sårbarheten ved å lansere oppdaterte versjoner av GoAnywhere MFT i forrige uke. Organisasjoner som kjører berørte versjoner, bør umiddelbart oppgradere til versjon 7.8.4 eller Sustain Release 7.6.3 for å utbedre sikkerhetsbristen.

Gitt de bekreftede bevisene på aktiv utnyttelse i naturen, bør sikkerhetsteam behandle denne oppdateringen som en nødprioritet. Organisasjoner som ikke kan bruke oppdateringer umiddelbart, bør vurdere å implementere midlertidige løsninger, for eksempel ved å begrense nettverkstilgangen til GoAnywhere MFT-grensesnittet eller plassere systemet bak ekstra sikkerhetskontroller.

Sikkerhetseksperter bør også gjennomføre grundige kriminaltekniske undersøkelser av GoAnywhere MFT-systemene sine for å se etter tegn på kompromittering. Indikatorer å se etter inkluderer uventede brukerkontoer, spesielt de som heter "admin-go", uvanlig aktivitet for opprettelse av nettbrukere og bevis på SimpleHelp eller ukjente kjørbare filer.

Sårbarheten er en sterk påminnelse om viktigheten av rask oppdatering, spesielt for filoverføringsløsninger som er rettet mot Internett, og som ofte er mål for avanserte trusselaktører og løsepengevirusgrupper. Organisasjoner som bruker GoAnywhere MFT for sikker filoverføring, må prioritere sikkerhetsoppdateringen for å beskytte sensitive data og forhindre potensielle sikkerhetsbrudd.

KILDE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html