Falha crítica do Fortra GoAnywhere explorada antes da divulgação

Uma vulnerabilidade de segurança crítica no software Fortra GoAnywhere Managed File Transfer foi ativamente explorada pelo menos uma semana antes da sua divulgação pública, de acordo com os investigadores de cibersegurança da watchTowr Labs. A vulnerabilidade, registada como CVE-2025-10035, tem a classificação de gravidade máxima de CVSS 10.0 e apresenta riscos significativos para as organizações que utilizam a popular solução de transferência de ficheiros.

Evidência de exploração ativa antes da divulgação

A empresa de segurança cibernética watchTowr Labs revelou evidências confiáveis que mostram a exploração da vulnerabilidade GoAnywhere desde 10 de setembro de 2025, sete dias antes de a falha de segurança ser anunciada publicamente. Esta linha temporal levanta sérias preocupações sobre a janela de vulnerabilidade durante a qual os sistemas afectados permaneceram desprotegidos.

Benjamin Harris, CEO e fundador da watchTowr, enfatizou a gravidade da situação, observando que esta não é apenas uma vulnerabilidade crítica numa solução empresarial amplamente utilizada, mas uma que tem sido ativamente utilizada como arma por agentes de ameaças. O software tem sido historicamente um alvo para grupos de ameaças persistentes avançadas e operadores de ransomware, o que torna esta descoberta particularmente alarmante para as equipas de segurança.

As provas de exploração incluem traços de pilha que mostram a criação de contas backdoor, demonstrando que os atacantes desenvolveram métodos sofisticados para comprometer os sistemas afectados antes de os patches estarem disponíveis.

Detalhes técnicos do CVE-2025-10035

A vulnerabilidade decorre de uma falha de desserialização no componente License Servlet do Fortra GoAnywhere MFT. Os atacantes podem explorar esta falha para conseguir a injeção de comandos sem necessitar de qualquer autenticação, o que a torna uma falha de segurança extremamente perigosa.

De acordo com a análise técnica da watchTowr, o vetor de ataque envolve o envio de uma solicitação HTTP GET especialmente criada para o endpoint "/goanywhere/license/Unlicensed.xhtml/". Isto permite a interação direta com o componente License Servlet, visando especificamente o "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" que está exposto em "/goanywhere/lic/accept/<GUID>".

No entanto, a cadeia de exploração completa é mais complexa do que se pensava inicialmente. A análise do fornecedor de segurança cibernética Rapid7 revelou que a CVE-2025-10035 não é uma vulnerabilidade autónoma, mas sim parte de uma cadeia que envolve três problemas de segurança distintos. Estes incluem um desvio do controlo de acesso conhecido desde 2023, a própria vulnerabilidade de desserialização insegura e um problema adicional desconhecido relacionado com a forma como os atacantes obtêm uma chave privada específica.

Cadeia de ataque e atividade do ator da ameaça

A investigação subsequente da WatchTowr revelou informações detalhadas sobre como os agentes de ameaças exploraram a vulnerabilidade em ataques reais. A sequência de ataque segue um padrão metódico concebido para estabelecer um acesso persistente a sistemas comprometidos.

Primeiro, os atacantes accionam a vulnerabilidade de pré-autenticação para conseguir a execução remota de código no sistema alvo. Em seguida, aproveitam este acesso inicial para criar uma conta de utilizador GoAnywhere chamada "admin-go", estabelecendo a sua posição dentro da aplicação. Usando essa conta recém-criada, os atacantes criam um usuário da Web, o que lhes fornece recursos adicionais para interagir com a solução.

Por fim, os agentes da ameaça utilizam a conta de utilizador Web para carregar e executar cargas úteis maliciosas adicionais. Os investigadores identificaram várias ferramentas utilizadas durante estes ataques, incluindo o SimpleHelp e um implante desconhecido chamado "zato_be.exe". Esta abordagem em várias fases demonstra a sofisticação dos agentes da ameaça que exploram esta vulnerabilidade.

Curiosamente, a atividade de ataque teve origem no endereço IP 155.2.190.197, que foi anteriormente assinalado por conduzir ataques de força bruta contra dispositivos Fortinet FortiGate SSL VPN no início de agosto de 2025, o que sugere o envolvimento de agentes de ameaças organizados com diversas capacidades de segmentação.

Mitigação e acções recomendadas

A Fortra respondeu à divulgação da vulnerabilidade lançando versões corrigidas do GoAnywhere MFT na semana passada. As organizações que executam versões afetadas devem atualizar imediatamente para a versão 7.8.4 ou a versão Sustain 7.6.3 para corrigir a falha de segurança.

Dada a evidência confirmada de exploração ativa na natureza, as equipas de segurança devem tratar esta atualização como uma prioridade de emergência. As organizações que não podem aplicar imediatamente os patches devem considerar a implementação de soluções temporárias, como restringir o acesso à rede à interface GoAnywhere MFT ou colocar o sistema atrás de controlos de segurança adicionais.

Os profissionais de segurança também devem conduzir investigações forenses completas de seus sistemas GoAnywhere MFT para verificar se há sinais de comprometimento. Os indicadores a serem procurados incluem contas de usuário inesperadas, particularmente aquelas denominadas "admin-go", atividades incomuns de criação de usuários da Web e evidências de SimpleHelp ou implantações de executáveis desconhecidos.

A vulnerabilidade serve para relembrar a importância de uma rápida implementação de patches, especialmente para soluções de transferência de ficheiros que estão viradas para a Internet e que são frequentemente visadas por agentes de ameaças avançadas e grupos de ransomware. As organizações que dependem do GoAnywhere MFT para transferências seguras de arquivos devem priorizar a atualização de segurança para proteger dados confidenciais e evitar possíveis violações.

FONTE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html