Kritična napaka Fortra GoAnywhere izkoriščena pred razkritjem

Po podatkih raziskovalcev kibernetske varnosti iz podjetja watchTowr Labs je bila kritična varnostna ranljivost v programski opremi Fortra GoAnywhere Managed File Transfer aktivno izkoriščena v naravi vsaj en teden pred njenim javnim razkritjem. Ranljivost, označena kot CVE-2025-10035, ima najvišjo oceno resnosti CVSS 10.0 in predstavlja veliko tveganje za organizacije, ki uporabljajo priljubljeno rešitev za prenos datotek.

Dokazi o aktivnem izkoriščanju pred razkritjem

Podjetje za kibernetsko varnost watchTowr Labs je razkrilo verodostojne dokaze o izkoriščanju ranljivosti GoAnywhere že 10. septembra 2025, sedem dni pred javno objavo varnostne pomanjkljivosti. Ta časovnica vzbuja resne pomisleke glede okna ranljivosti, v katerem so prizadeti sistemi ostali nezaščiteni.

Benjamin Harris, izvršni direktor in ustanovitelj podjetja watchTowr, je poudaril resnost situacije in opozoril, da ne gre zgolj za kritično ranljivost v široko uporabljani rešitvi za podjetja, temveč za ranljivost, ki so jo akterji groženj aktivno uporabili kot orožje. Programska oprema je bila v preteklosti tarča skupin za napredne trajne grožnje in izvajalcev izsiljevalske programske opreme, zato je to odkritje za varnostne ekipe še posebej zaskrbljujoče.

Dokazi o izkoriščanju vključujejo sledove zaporedja, ki prikazujejo ustvarjanje računov z zadnjimi vrati, kar dokazuje, da so napadalci razvili prefinjene metode za ogrožanje prizadetih sistemov, preden so bili na voljo popravki.

Tehnične podrobnosti o CVE-2025-10035

Ranljivost izhaja iz napake deserializacije v komponenti License Servlet programa Fortra GoAnywhere MFT. Napadalci lahko to pomanjkljivost izkoristijo za vbrizgavanje ukazov , ne da bi za to potrebovali kakršno koli avtentikacijo, zato je to izjemno nevarna varnostna vrzel.

Glede na tehnično analizo podjetja watchTowr vektor napada vključuje pošiljanje posebej izdelane zahteve HTTP GET na končno točko "/goanywhere/license/Unlicensed.xhtml/". To omogoča neposredno interakcijo s komponento License Servlet, zlasti z usmeritvijo na "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet", ki je izpostavljena na "/goanywhere/lic/accept/<GUID>".

Vendar je celotna veriga izkoriščanja bolj zapletena, kot se je sprva zdelo. Analiza ponudnika kibernetske varnosti Rapid7 je pokazala, da CVE-2025-10035 ni samostojna ranljivost, temveč del verige, ki vključuje tri ločene varnostne težave. Med njimi so izogibanje nadzoru dostopa, znano od leta 2023, sama ranljivost nevarne deserializacije in dodatna neznana težava, povezana s tem, kako napadalci pridobijo določen zasebni ključ.

Veriga napadov in dejavnosti akterjev groženj

Nadaljnja preiskava družbe WatchTowr je razkrila podrobne informacije o tem, kako so akterji groženj izkoriščali ranljivost v dejanskih napadih. Zaporedje napadov sledi metodičnemu vzorcu, ki je namenjen vzpostavitvi trajnega dostopa do ogroženih sistemov.

Najprej napadalci sprožijo ranljivost pred preverjanjem pristnosti, da dosežejo oddaljeno izvajanje kode v ciljnem sistemu. Ta začetni dostop nato izkoristijo za ustvarjanje uporabniškega računa GoAnywhere z imenom "admin-go", s čimer vzpostavijo svojo oporno točko v aplikaciji. S tem novo ustvarjenim računom napadalci ustvarijo spletnega uporabnika, ki jim zagotavlja dodatne možnosti za interakcijo z rešitvijo.

Na koncu akterji grožnje uporabijo spletni uporabniški račun za nalaganje in izvajanje dodatnih zlonamernih bremen. Raziskovalci so med temi napadi identificirali več uporabljenih orodij, med njimi SimpleHelp in neznan vsadek z imenom "zato_be.exe". Ta večstopenjski pristop kaže na prefinjenost akterjev groženj, ki izkoriščajo to ranljivost.

Zanimivo je, da je napadalna dejavnost izvirala z naslova IP 155.2.190.197, ki je bil predhodno označen zaradi izvajanja napadov z grobo silo na naprave Fortinet FortiGate SSL VPN v začetku avgusta 2025, kar kaže na vpletenost organiziranih akterjev groženj z različnimi možnostmi ciljanja.

Blažitev in priporočeni ukrepi

Družba Fortra se je na razkritje ranljivosti odzvala tako, da je prejšnji teden izdala popravljene različice programa GoAnywhere MFT. Organizacije, ki uporabljajo prizadete različice, morajo takoj nadgraditi na različico 7.8.4 ali trajnostno različico 7.6.3, da odpravijo varnostno pomanjkljivost.

Glede na potrjene dokaze o aktivnem izkoriščanju v naravi morajo varnostne ekipe to posodobitev obravnavati kot nujno prednostno nalogo. Organizacije, ki ne morejo takoj uporabiti popravkov, naj razmislijo o uvedbi začasnih rešitev, kot je omejitev omrežnega dostopa do vmesnika GoAnywhere MFT ali namestitev sistema za dodatne varnostne kontrole.

Varnostni strokovnjaki morajo opraviti tudi temeljite forenzične preiskave svojih sistemov GoAnywhere MFT in preveriti znake kompromitacije. Kazalniki, ki jih je treba iskati, vključujejo nepričakovane uporabniške račune, zlasti tiste z imenom "admin-go", nenavadne dejavnosti ustvarjanja spletnih uporabnikov in dokaze o nameščanju SimpleHelp ali neznanih izvršilnih datotek.

Ranljivost je jasen opomnik na pomen hitrega nameščanja popravkov, zlasti za internetne rešitve za prenos datotek, ki so pogosto tarča naprednih akterjev groženj in skupin za izsiljevalsko programsko opremo. Organizacije, ki se zanašajo na GoAnywhere MFT za varen prenos datotek, morajo prednostno izvesti varnostno posodobitev, da zaščitijo občutljive podatke in preprečijo morebitne kršitve.

IZVOD - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html