Kritična ranjivost Fortra GoAnywhere iskorišćena pre objave

Kritična bezbednosna ranjivost u Fortra GoAnywhere Managed File Transfer softveru aktivno je iskorišćavana u prirodi najmanje nedelju dana pre javnog objavljivanja, prema istraživačima sajber bezbednosti iz watchTowr Labs. Ranjivost, praćena kao CVE-2025-10035, nosi maksimalnu ocenu ozbiljnosti CVSS 10.0 i predstavlja značajne rizike za organizacije koje koriste popularno rešenje za prenos fajlova.

Dokazi o aktivnoj eksploataciji pre objavljivanja

Firma za sajber bezbednost watchTowr Labs otkrila je kredibilne dokaze koji pokazuju eksploataciju GoAnywhere ranjivosti još od 10. septembra 2025, sedam dana pre nego što je bezbednosni propust javno objavljen. Ovaj vremenski okvir izaziva ozbiljnu zabrinutost zbog perioda ranjivosti tokom kojeg su pogođeni sistemi ostali nezaštićeni.

Benjamin Harris, CEO i osnivač watchTowr, naglasio je ozbiljnost situacije, ističući da ovo nije samo kritična ranjivost u široko korišćenom enterprise rešenju, već da je aktivno korišćena od strane napadača. Softver je istorijski bio meta grupa za napredne uporne pretnje i operatera ransomware-a, što ovu pojavu čini posebno alarmantnom za bezbednosne timove.

Dokazi eksploatacije uključuju stack trace-ove koji pokazuju kreiranje backdoor naloga, demonstrirajući da su napadači razvili sofisticirane metode za kompromitovanje pogođenih sistema pre nego što su zakrpe postale dostupne.

Tehnički detalji CVE-2025-10035

Ranjivost proizilazi iz greške u deserializaciji u License Servlet komponenti Fortra GoAnywhere MFT. Napadači mogu iskoristiti ovu slabost za izvršavanje komandi bez potrebe za autentifikacijom, što predstavlja izuzetno opasan bezbednosni propust.

Prema tehničkoj analizi watchTowr-a, vektor napada uključuje slanje posebno kreiranog HTTP GET zahteva na "/goanywhere/license/Unlicensed.xhtml/" endpoint. Ovo omogućava direktnu interakciju sa License Servlet komponentom, posebno ciljajući "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" koji je izložen na "/goanywhere/lic/accept/<GUID>".

Međutim, kompletan lanac eksploatacije je složeniji nego što se prvobitno mislilo. Analiza sajber bezbednosnog vendora Rapid7 otkrila je da CVE-2025-10035 nije samostalna ranjivost, već deo lanca koji uključuje tri odvojena bezbednosna problema. To uključuje bypass kontrole pristupa poznat od 2023, samu ranjivost u nesigurnoj deserializaciji, i dodatni nepoznati problem vezan za način na koji napadači dobijaju specifični privatni ključ.

Lanac napada i aktivnost napadača

Naredna istraga watchTowr-a otkrila je detaljne informacije o tome kako su napadači iskorišćavali ranjivost u stvarnim napadima. Sekvenca napada prati metodičan obrazac dizajniran za uspostavljanje trajnog pristupa kompromitovanim sistemima.

Prvo, napadači aktiviraju ranjivost pre autentifikacije da bi ostvarili izvršenje koda na daljinu na ciljnom sistemu. Zatim koriste ovaj početni pristup da kreiraju GoAnywhere korisnički nalog pod imenom "admin-go", uspostavljajući svoj položaj unutar aplikacije. Koristeći ovaj novokreirani nalog, napadači nastavljaju sa kreiranjem web korisnika, što im pruža dodatne mogućnosti za interakciju sa rešenjem.

Na kraju, napadači koriste web korisnički nalog za upload i izvršavanje dodatnih malicioznih payload-a. Istraživači su identifikovali nekoliko alata korišćenih tokom ovih napada, uključujući SimpleHelp i nepoznati implant pod nazivom "zato_be.exe". Ovaj višestepeni pristup pokazuje sofisticiranost napadača koji iskorišćavaju ovu ranjivost.

Zanimljivo je da je aktivnost napada potekla sa IP adrese 155.2.190.197, koja je ranije označena zbog izvođenja brute-force napada na Fortinet FortiGate SSL VPN uređaje početkom avgusta 2025, što sugeriše učešće organizovanih napadača sa raznovrsnim mogućnostima ciljanog delovanja.

Ublažavanje i preporučene mere

Fortra je reagovala na objavljivanje ranjivosti izdavanjem zakrpljenih verzija GoAnywhere MFT prošle nedelje. Organizacije koje koriste pogođene verzije treba odmah da nadograde na verziju 7.8.4 ili Sustain Release 7.6.3 kako bi otklonile bezbednosni propust.

Uzimajući u obzir potvrđene dokaze o aktivnoj eksploataciji u prirodi, bezbednosni timovi treba da tretiraju ovu nadogradnju kao hitan prioritet. Organizacije koje ne mogu odmah da primene zakrpe treba da razmotre privremene mere, kao što su ograničavanje mrežnog pristupa GoAnywhere MFT interfejsu ili postavljanje sistema iza dodatnih bezbednosnih kontrola.

Bezbednosni profesionalci treba da sprovedu detaljne forenzičke istrage svojih GoAnywhere MFT sistema kako bi proverili znakove kompromitacije. Indikatori na koje treba obratiti pažnju uključuju neočekivane korisničke naloge, posebno one pod imenom "admin-go", neuobičajenu aktivnost kreiranja web korisnika, kao i dokaze o korišćenju SimpleHelp ili nepoznatih izvršnih fajlova.

Ova ranjivost služi kao oštra opomena o važnosti brze primene zakrpa, naročito za rešenja za prenos fajlova koja su izložena internetu i često meta naprednih napadača i ransomware grupa. Organizacije koje se oslanjaju na GoAnywhere MFT za siguran prenos fajlova moraju prioritetno primeniti bezbednosnu nadogradnju kako bi zaštitile osetljive podatke i sprečile potencijalne proboje.

SOURCE - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html