Krytyczny błąd Fortra GoAnywhere wykorzystany przed ujawnieniem

Według badaczy cyberbezpieczeństwa z watchTowr Labs, krytyczna luka w zabezpieczeniach oprogramowania Fortra GoAnywhere Managed File Transfer była aktywnie wykorzystywana na wolności co najmniej tydzień przed jej publicznym ujawnieniem. Luka, śledzona jako CVE-2025-10035, ma maksymalną ocenę ważności CVSS 10.0 i stanowi poważne zagrożenie dla organizacji korzystających z popularnego rozwiązania do przesyłania plików.

Dowody aktywnej eksploatacji przed ujawnieniem

Firma watchTowr Labs zajmująca się cyberbezpieczeństwem ujawniła wiarygodne dowody wskazujące na wykorzystanie luki w zabezpieczeniach GoAnywhere sięgające 10 września 2025 r., czyli siedem dni przed publicznym ogłoszeniem luki w zabezpieczeniach. Ta oś czasu budzi poważne obawy co do okna podatności, podczas którego dotknięte systemy pozostawały niezabezpieczone.

Benjamin Harris, dyrektor generalny i założyciel watchTowr, podkreślił powagę sytuacji, zauważając, że nie jest to tylko krytyczna luka w powszechnie używanym rozwiązaniu dla przedsiębiorstw, ale taka, która została aktywnie wykorzystana przez podmioty stanowiące zagrożenie. Oprogramowanie to było w przeszłości celem dla grup zaawansowanych trwałych zagrożeń i operatorów ransomware, co czyni to odkrycie szczególnie niepokojącym dla zespołów ds. bezpieczeństwa.

Dowody exploitów obejmują ślady stosu pokazujące tworzenie kont backdoor, co pokazuje, że atakujący opracowali wyrafinowane metody kompromitacji dotkniętych systemów, zanim łatki stały się dostępne.

Szczegóły techniczne CVE-2025-10035

Luka wynika z błędu deserializacji w komponencie License Servlet programu Fortra GoAnywhere MFT. Atakujący mogą wykorzystać tę słabość do wstrzyknięcia polecenia bez konieczności uwierzytelniania, co czyni ją niezwykle niebezpieczną luką w zabezpieczeniach.

Według analizy technicznej watchTowr, wektor ataku polega na wysłaniu specjalnie spreparowanego żądania HTTP GET do punktu końcowego "/goanywhere/license/Unlicensed.xhtml/". Pozwala to na bezpośrednią interakcję z komponentem License Servlet, w szczególności na "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet", który jest wystawiony na "/goanywhere/lic/accept/<GUID>".

Jednak cały łańcuch exploitów jest bardziej złożony niż początkowo sądzono. Analiza przeprowadzona przez Rapid7, dostawcę usług cyberbezpieczeństwa, wykazała, że CVE-2025-10035 nie jest samodzielną luką, ale raczej częścią łańcucha obejmującego trzy oddzielne kwestie bezpieczeństwa. Obejmują one obejście kontroli dostępu znane od 2023 r., samą podatność na niebezpieczną deserializację oraz dodatkową nieznaną kwestię związaną ze sposobem, w jaki atakujący uzyskują określony klucz prywatny.

Łańcuch ataków i aktywność aktorów zagrożeń

Późniejsze dochodzenie WatchTowr ujawniło szczegółowe informacje o tym, w jaki sposób aktorzy zagrożeń wykorzystywali tę lukę w rzeczywistych atakach. Sekwencja ataku przebiega zgodnie z metodycznym wzorcem zaprojektowanym w celu ustanowienia stałego dostępu do zaatakowanych systemów.

Najpierw atakujący uruchamiają lukę w zabezpieczeniach przed uwierzytelnieniem, aby uzyskać zdalne wykonanie kodu w systemie docelowym. Następnie wykorzystują ten początkowy dostęp do utworzenia konta użytkownika GoAnywhere o nazwie "admin-go", ustanawiając swoje przyczółki w aplikacji. Korzystając z tego nowo utworzonego konta, atakujący przystępują do tworzenia użytkownika sieciowego, który zapewnia im dodatkowe możliwości interakcji z rozwiązaniem.

Wreszcie, aktorzy zagrożeń używają konta użytkownika sieciowego do przesyłania i wykonywania dodatkowych złośliwych ładunków. Badacze zidentyfikowali kilka narzędzi wykorzystywanych podczas tych ataków, w tym SimpleHelp i nieznany implant o nazwie "zato_be.exe". To wieloetapowe podejście pokazuje wyrafinowanie podmiotów wykorzystujących tę lukę.

Co ciekawe, aktywność atakujących pochodziła z adresu IP 155.2.190.197, który został wcześniej oznaczony jako przeprowadzający ataki typu brute-force na urządzenia Fortinet FortiGate SSL VPN na początku sierpnia 2025 r., co sugeruje zaangażowanie zorganizowanych aktorów zagrożeń o zróżnicowanych możliwościach targetowania.

Środki zaradcze i zalecane działania

Fortra zareagowała na ujawnienie podatności, wydając w zeszłym tygodniu poprawione wersje GoAnywhere MFT. Organizacje korzystające z zagrożonych wersji powinny natychmiast zaktualizować je do wersji 7.8.4 lub Sustain Release 7.6.3, aby naprawić lukę w zabezpieczeniach.

Biorąc pod uwagę potwierdzone dowody aktywnego wykorzystywania w środowisku naturalnym, zespoły ds. bezpieczeństwa powinny traktować tę aktualizację jako priorytet awaryjny. Organizacje, które nie mogą natychmiast zastosować poprawek, powinny rozważyć wdrożenie tymczasowych obejść, takich jak ograniczenie dostępu sieciowego do interfejsu GoAnywhere MFT lub umieszczenie systemu za dodatkowymi kontrolami bezpieczeństwa.

Specjaliści ds. bezpieczeństwa powinni również przeprowadzić dokładne badania kryminalistyczne swoich systemów GoAnywhere MFT w celu sprawdzenia oznak kompromitacji. Wskaźniki, których należy szukać, obejmują nieoczekiwane konta użytkowników, w szczególności te o nazwie "admin-go", nietypową aktywność tworzenia użytkowników sieci Web oraz dowody wdrożeń SimpleHelp lub nieznanych plików wykonywalnych.

Luka służy jako wyraźne przypomnienie o znaczeniu szybkiego wdrażania poprawek, szczególnie w przypadku rozwiązań do przesyłania plików przez Internet, które są często celem zaawansowanych aktorów zagrożeń i grup ransomware. Organizacje polegające na GoAnywhere MFT do bezpiecznego przesyłania plików muszą priorytetowo traktować aktualizację zabezpieczeń, aby chronić wrażliwe dane i zapobiegać potencjalnym naruszeniom.

ŹRÓDŁO - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html