Kritická chyba v službe Fortra GoAnywhere zneužitá pred zverejnením

Podľa výskumníkov kybernetickej bezpečnosti zo spoločnosti watchTowr Labs bola kritická bezpečnostná chyba v softvéri Fortra GoAnywhere Managed File Transfer aktívne zneužívaná vo voľnej prírode najmenej týždeň pred jej zverejnením. Zraniteľnosť, sledovaná ako CVE-2025-10035, má maximálne hodnotenie závažnosti CVSS 10.0 a predstavuje významné riziko pre organizácie, ktoré používajú populárne riešenie na prenos súborov.

Dôkazy o aktívnom zneužívaní pred zverejnením

Spoločnosť watchTowr Labs zaoberajúca sa kybernetickou bezpečnosťou odhalila dôveryhodné dôkazy poukazujúce na zneužívanie zraniteľnosti GoAnywhere už od 10. septembra 2025, teda sedem dní pred verejným oznámením bezpečnostnej chyby. Táto časová os vyvoláva vážne obavy, pokiaľ ide o okno zraniteľnosti, počas ktorého zostali postihnuté systémy nechránené.

Benjamin Harris, generálny riaditeľ a zakladateľ spoločnosti watchTowr, zdôraznil vážnosť situácie a poznamenal, že nejde len o kritickú zraniteľnosť v široko používanom podnikovom riešení, ale o zraniteľnosť, ktorú aktívne využívajú aktéri hrozieb. Tento softvér bol v minulosti cieľom skupín pokročilých pretrvávajúcich hrozieb a prevádzkovateľov ransomvéru, preto je toto zistenie pre bezpečnostné tímy obzvlášť znepokojujúce.

Dôkazy o zneužití zahŕňajú stopy zásobníka, ktoré ukazujú vytvorenie zadných dverí, čo dokazuje, že útočníci vyvinuli sofistikované metódy na kompromitáciu postihnutých systémov ešte pred sprístupnením záplat.

Technické podrobnosti o CVE-2025-10035

Zraniteľnosť vyplýva z chyby deserializácie v komponente License Servlet systému Fortra GoAnywhere MFT. Útočníci môžu túto slabinu zneužiť na dosiahnutie injekcie príkazu bez toho, aby sa vyžadovalo akékoľvek overenie, čo z nej robí mimoriadne nebezpečnú bezpečnostnú medzeru.

Podľa technickej analýzy spoločnosti watchTowr vektor útoku zahŕňa odoslanie špeciálne vytvorenej požiadavky HTTP GET na koncový bod "/goanywhere/license/Unlicensed.xhtml/". To umožňuje priamu interakciu s komponentom License Servlet, konkrétne sa zameriava na "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet", ktorý je vystavený na adrese "/goanywhere/lic/accept/<GUID>".

Celý reťazec zneužitia je však zložitejší, než sa pôvodne predpokladalo. Analýza dodávateľa kybernetickej bezpečnosti Rapid7 odhalila, že CVE-2025-10035 nie je samostatnou zraniteľnosťou, ale skôr súčasťou reťazca zahŕňajúceho tri samostatné bezpečnostné problémy. Patrí k nim obídenie kontroly prístupu známe od roku 2023, samotná zraniteľnosť nebezpečnej deserializácie a ďalší neznámy problém súvisiaci so spôsobom, akým útočníci získajú konkrétny súkromný kľúč.

Útočný reťazec a činnosť aktéra hrozby

Následné vyšetrovanie spoločnosti WatchTowr odhalilo podrobné informácie o tom, ako aktéri hrozieb zneužívali túto zraniteľnosť pri reálnych útokoch. Postupnosť útoku sa riadi metodickým vzorom navrhnutým na vytvorenie trvalého prístupu do napadnutých systémov.

Najprv útočníci spustia zraniteľnosť pred overením, aby dosiahli vzdialené spustenie kódu v cieľovom systéme. Potom využijú tento počiatočný prístup na vytvorenie používateľského účtu GoAnywhere s názvom "admin-go", čím si vytvoria oporu v aplikácii. Pomocou tohto novovytvoreného účtu útočníci pokračujú vo vytváraní webového používateľa, ktorý im poskytuje ďalšie možnosti interakcie s riešením.

Nakoniec aktéri hrozby použijú konto webového používateľa na nahrávanie a spúšťanie ďalších škodlivých záťaží. Výskumníci identifikovali niekoľko nástrojov nasadených počas týchto útokov vrátane SimpleHelp a neznámeho implantátu s názvom "zato_be.exe". Tento viacstupňový prístup poukazuje na sofistikovanosť aktérov hrozieb využívajúcich túto zraniteľnosť.

Zaujímavé je, že útočná aktivita pochádzala z IP adresy 155.2.190.197, ktorá bola predtým označená za vykonávanie útokov hrubou silou proti zariadeniam Fortinet FortiGate SSL VPN začiatkom augusta 2025, čo naznačuje zapojenie organizovaných aktérov hrozieb s rôznymi možnosťami zamerania.

Zmiernenie a odporúčané opatrenia

Spoločnosť Fortra reagovala na odhalenie zraniteľnosti vydaním opravených verzií GoAnywhere MFT minulý týždeň. Organizácie, ktoré používajú dotknuté verzie, by mali okamžite aktualizovať na verziu 7.8.4 alebo Sustain Release 7.6.3, aby odstránili bezpečnostnú chybu.

Vzhľadom na potvrdené dôkazy o aktívnom zneužívaní vo voľnej prírode by bezpečnostné tímy mali túto aktualizáciu považovať za mimoriadnu prioritu. Organizácie, ktoré nemôžu okamžite aplikovať opravy, by mali zvážiť zavedenie dočasných riešení, napríklad obmedzenie sieťového prístupu k rozhraniu GoAnywhere MFT alebo umiestnenie systému za ďalšie bezpečnostné kontroly.

Bezpečnostní odborníci by mali tiež vykonať dôkladné forenzné vyšetrovanie svojich systémov GoAnywhere MFT a skontrolovať, či sa v nich nenachádzajú známky kompromitácie. Medzi indikátory, ktoré treba hľadať, patria neočakávané používateľské účty, najmä tie s názvom "admin-go", neobvyklá aktivita vytvárania webových používateľov a dôkazy o nasadení SimpleHelp alebo neznámych spustiteľných súborov.

Zraniteľnosť slúži ako jasná pripomienka dôležitosti rýchleho nasadenia záplat, najmä v prípade internetových riešení na prenos súborov, ktoré sú často terčom útokov pokročilých aktérov hrozieb a skupín ransomvéru. Organizácie, ktoré sa spoliehajú na GoAnywhere MFT na bezpečné prenosy súborov, musia uprednostniť aktualizáciu zabezpečenia, aby ochránili citlivé údaje a zabránili potenciálnym narušeniam.

ZDROJ - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html