Eroare critică Fortra GoAnywhere exploatată înainte de dezvăluire

O vulnerabilitate critică de securitate în software-ul Fortra GoAnywhere Managed File Transfer a fost exploatată în mod activ cu cel puțin o săptămână înainte de dezvăluirea sa publică, potrivit cercetătorilor în securitate cibernetică de la watchTowr Labs. Vulnerabilitatea, identificată drept CVE-2025-10035, are ratingul maxim de severitate CVSS 10.0 și prezintă riscuri semnificative pentru organizațiile care utilizează soluția populară de transfer de fișiere.

Dovezi ale exploatării active înainte de dezvăluire

Firma de securitate cibernetică watchTowr Labs a dezvăluit dovezi credibile care arată exploatarea vulnerabilității GoAnywhere încă din 10 septembrie 2025, cu șapte zile înainte ca defectul de securitate să fie anunțat public. Această cronologie ridică probleme serioase cu privire la fereastra de vulnerabilitate în timpul căreia sistemele afectate au rămas neprotejate.

Benjamin Harris, CEO și fondator al watchTowr, a subliniat gravitatea situației, menționând că nu este vorba doar de o vulnerabilitate critică a unei soluții pentru întreprinderi utilizate pe scară largă, ci de una care a fost folosită în mod activ de către actorii care reprezintă amenințări. Software-ul a fost istoric o țintă pentru grupurile de amenințări persistente avansate și operatorii de ransomware, ceea ce face ca această descoperire să fie deosebit de alarmantă pentru echipele de securitate.

Dovezile de exploatare includ urme de stivă care arată crearea de conturi backdoor, demonstrând că atacatorii au dezvoltat metode sofisticate pentru a compromite sistemele afectate înainte ca patch-urile să devină disponibile.

Detalii tehnice ale vulnerabilității CVE-2025-10035

Vulnerabilitatea provine dintr-o deficiență de deserializare în componenta License Servlet a Fortra GoAnywhere MFT. Atacatorii pot exploata această slăbiciune pentru a realiza injectarea de comenzi fără a necesita nicio autentificare, ceea ce o face o breșă de securitate extrem de periculoasă.

Conform analizei tehnice a watchTowr, vectorul de atac implică trimiterea unei cereri HTTP GET special creată la punctul final "/goanywhere/license/Unlicensed.xhtml/". Acest lucru permite interacțiunea directă cu componenta License Servlet, vizând în special "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" care este expus la "/goanywhere/lic/accept/<GUID>".

Cu toate acestea, lanțul complet de exploatare este mai complex decât s-a înțeles inițial. Analiza furnizorului de securitate cibernetică Rapid7 a arătat că CVE-2025-10035 nu este o vulnerabilitate de sine stătătoare, ci mai degrabă parte a unui lanț care implică trei probleme de securitate separate. Acestea includ o ocolire a controlului accesului cunoscută din 2023, vulnerabilitatea nesigură de deserializare în sine și o problemă suplimentară necunoscută legată de modul în care atacatorii obțin o anumită cheie privată.

Lanțul de atacuri și activitatea actorilor amenințători

Ancheta ulterioară a WatchTowr a scos la iveală informații detaliate despre modul în care actorii de amenințare au exploatat vulnerabilitatea în atacuri reale. Secvența de atac urmează un model metodic conceput pentru a stabili accesul persistent la sistemele compromise.

În primul rând, atacatorii declanșează vulnerabilitatea de pre-autentificare pentru a obține executarea codului de la distanță pe sistemul țintă. Aceștia profită apoi de acest acces inițial pentru a crea un cont de utilizator GoAnywhere numit "admin-go", stabilindu-și poziția în cadrul aplicației. Folosind acest cont nou creat, atacatorii procedează la crearea unui utilizator web, care le oferă capacități suplimentare pentru a interacționa cu soluția.

În cele din urmă, actorii amenințării utilizează contul de utilizator web pentru a încărca și a executa sarcini utile malițioase suplimentare. Cercetătorii au identificat mai multe instrumente utilizate în timpul acestor atacuri, inclusiv SimpleHelp și un implant necunoscut numit "zato_be.exe". Această abordare în mai multe etape demonstrează gradul de sofisticare al actorilor de amenințare care exploatează această vulnerabilitate.

Interesant este faptul că activitatea de atac a provenit de la adresa IP 155.2.190.197, care a fost semnalată anterior pentru efectuarea de atacuri brute-force împotriva dispozitivelor Fortinet FortiGate SSL VPN la începutul lunii august 2025, ceea ce sugerează implicarea unor actori de amenințare organizați cu capacități de direcționare diverse.

Măsuri de atenuare și acțiuni recomandate

Fortra a răspuns la dezvăluirea vulnerabilității prin lansarea unor versiuni corectate ale GoAnywhere MFT săptămâna trecută. Organizațiile care utilizează versiunile afectate trebuie să facă imediat upgrade la versiunea 7.8.4 sau la versiunea de susținere 7.6.3 pentru a remedia problema de securitate.

Având în vedere dovezile confirmate de exploatare activă în mediul natural, echipele de securitate ar trebui să trateze această actualizare ca o prioritate de urgență. Organizațiile care nu pot aplica imediat patch-uri ar trebui să ia în considerare implementarea unor soluții temporare, cum ar fi restricționarea accesului în rețea la interfața GoAnywhere MFT sau plasarea sistemului în spatele unor controale de securitate suplimentare.

De asemenea, profesioniștii din domeniul securității ar trebui să efectueze investigații criminalistice aprofundate ale sistemelor lor GoAnywhere MFT pentru a verifica dacă există semne de compromitere. Printre indicatorii care trebuie căutați se numără conturile de utilizator neașteptate, în special cele denumite "admin-go", activitatea neobișnuită de creare a utilizatorilor web și dovezi ale implementării SimpleHelp sau a executabilelor necunoscute.

Vulnerabilitatea reamintește importanța implementării rapide a patch-urilor, în special pentru soluțiile de transfer de fișiere orientate către internet, care sunt frecvent vizate de actori de amenințare avansați și grupuri ransomware. Organizațiile care se bazează pe GoAnywhere MFT pentru transferuri sigure de fișiere trebuie să acorde prioritate actualizării de securitate pentru a proteja datele sensibile și a preveni potențialele breșe.

SURSĂ - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html