Kritik Fortra GoAnywhere Açığı Açıklanmadan Önce İstismar Edildi

watchTowr Labs siber güvenlik araştırmacılarına göre, Fortra GoAnywhere Managed File Transfer yazılımındaki kritik bir güvenlik açığı, kamuya açıklanmasından en az bir hafta önce vahşi doğada aktif olarak istismar edildi. CVE-2025-10035 olarak takip edilen güvenlik açığı, CVSS 10.0'ın maksimum önem derecesini taşıyor ve popüler dosya aktarım çözümünü kullanan kuruluşlar için önemli riskler oluşturuyor.

Açıklanmadan Önce Aktif İstismar Kanıtı

Siber güvenlik firması watchTowr Labs, GoAnywhere güvenlik açığının 10 Eylül 2025 tarihine, yani güvenlik açığının kamuoyuna duyurulmasından yedi gün öncesine kadar kullanıldığını gösteren güvenilir kanıtlar ortaya koydu. Bu zaman çizelgesi, etkilenen sistemlerin korumasız kaldığı güvenlik açığı penceresi hakkında ciddi endişelere yol açmaktadır.

watchTowr CEO'su ve Kurucusu Benjamin Harris, durumun ciddiyetini vurgulayarak, bunun yalnızca yaygın olarak kullanılan bir kurumsal çözümdeki kritik bir güvenlik açığı değil, aynı zamanda tehdit aktörleri tarafından aktif olarak silah haline getirilmiş bir güvenlik açığı olduğunu belirtti. Yazılım geçmişte gelişmiş kalıcı tehdit grupları ve fidye yazılımı operatörleri için bir hedef olmuştur, bu da bu keşfi güvenlik ekipleri için özellikle endişe verici hale getirmektedir.

İstismar kanıtları, arka kapı hesaplarının oluşturulduğunu gösteren yığın izlerini içermekte ve saldırganların yamalar kullanıma sunulmadan önce etkilenen sistemleri tehlikeye atmak için sofistike yöntemler geliştirdiklerini göstermektedir.

CVE-2025-10035'in Teknik Detayları

Güvenlik açığı, Fortra GoAnywhere MFT'nin Lisans Servlet bileşenindeki bir deserializasyon kusurundan kaynaklanmaktadır. Saldırganlar , herhangi bir kimlik doğrulaması gerektirmeden komut enjeksiyonu elde etmek için bu zayıflıktan yararlanabilir ve bu da onu son derece tehlikeli bir güvenlik açığı haline getirir .

watchTowr'ın teknik analizine göre, saldırı vektörü "/goanywhere/license/Unlicensed.xhtml/" uç noktasına özel olarak hazırlanmış bir HTTP GET isteği göndermeyi içeriyor. Bu, özellikle "/goanywhere/lic/accept/<GUID>" adresinde açığa çıkan "com.linoma.ga.ui.admin.servlet.LicenseResponseServlet" hedef alınarak Lisans Servlet bileşeniyle doğrudan etkileşime izin verir.

Bununla birlikte, istismar zincirinin tamamı başlangıçta anlaşıldığından daha karmaşıktır. Siber güvenlik tedarikçisi Rapid7'nin analizi, CVE-2025-10035'in tek başına bir güvenlik açığı olmadığını, bunun yerine üç ayrı güvenlik sorununu içeren bir zincirin parçası olduğunu ortaya koydu. Bunlar arasında 2023'ten beri bilinen bir erişim kontrolü baypası, güvenli olmayan serileştirme güvenlik açığının kendisi ve saldırganların belirli bir özel anahtarı nasıl elde ettiğiyle ilgili bilinmeyen ek bir sorun bulunmaktadır.

Saldırı Zinciri ve Tehdit Aktörünün Faaliyetleri

WatchTowr'ın müteakip araştırması, tehdit aktörlerinin gerçek dünya saldırılarında güvenlik açığından nasıl yararlandıklarına dair ayrıntılı bilgileri ortaya çıkardı. Saldırı dizisi, ele geçirilen sistemlere kalıcı erişim sağlamak için tasarlanmış metodik bir model izliyor.

İlk olarak, saldırganlar hedef sistemde uzaktan kod yürütme elde etmek için kimlik doğrulama öncesi güvenlik açığını tetikler. Daha sonra bu ilk erişimden yararlanarak "admin-go" adında bir GoAnywhere kullanıcı hesabı oluşturuyor ve uygulama içinde yerlerini alıyorlar. Saldırganlar yeni oluşturulan bu hesabı kullanarak bir web kullanıcısı oluşturmaya devam ediyor ve bu da onlara çözümle etkileşime geçmek için ek yetenekler sağlıyor.

Son olarak, tehdit aktörleri web kullanıcı hesabını ek kötü amaçlı yükleri yüklemek ve yürütmek için kullanır. Araştırmacılar bu saldırılar sırasında SimpleHelp ve "zato_be.exe" adlı bilinmeyen bir implant da dahil olmak üzere çeşitli araçların kullanıldığını tespit etti. Bu çok aşamalı yaklaşım, bu güvenlik açığından yararlanan tehdit aktörlerinin karmaşıklığını göstermektedir.

İlginç bir şekilde, saldırı faaliyeti, daha önce Ağustos 2025'in başlarında Fortinet FortiGate SSL VPN cihazlarına karşı kaba kuvvet saldırıları gerçekleştirdiği için işaretlenmiş olan 155.2.190.197 IP adresinden kaynaklandı ve bu da çeşitli hedefleme yeteneklerine sahip organize tehdit aktörlerinin dahil olduğunu gösteriyor.

Etki Azaltma ve Önerilen Eylemler

Fortra, güvenlik açığı ifşasına geçen hafta GoAnywhere MFT'nin yamalı sürümlerini yayınlayarak yanıt verdi. Etkilenen sürümleri çalıştıran kuruluşlar, güvenlik açığını gidermek için derhal 7.8.4 sürümüne veya Sustain Release 7.6.3 sürümüne yükseltmelidir.

Vahşi doğada aktif istismarın doğrulanmış kanıtları göz önüne alındığında, güvenlik ekipleri bu güncellemeyi acil bir öncelik olarak ele almalıdır. Yamaları hemen uygulayamayan kuruluşlar, GoAnywhere MFT arayüzüne ağ erişimini kısıtlamak veya sistemi ek güvenlik kontrollerinin arkasına yerleştirmek gibi geçici çözümler uygulamayı düşünmelidir.

Güvenlik uzmanları ayrıca GoAnywhere MFT sistemlerinde tehlikeye girme belirtilerini kontrol etmek için kapsamlı adli incelemeler yapmalıdır. Aranacak göstergeler arasında beklenmedik kullanıcı hesapları, özellikle "admin-go" olarak adlandırılanlar, olağandışı web kullanıcısı oluşturma etkinliği ve SimpleHelp veya bilinmeyen yürütülebilir dağıtımların kanıtları yer almaktadır.

Bu güvenlik açığı, özellikle gelişmiş tehdit aktörleri ve fidye yazılımı grupları tarafından sıklıkla hedef alınan internete dönük dosya aktarım çözümleri için hızlı yama dağıtımının önemini hatırlatmaktadır. Güvenli dosya aktarımları için GoAnywhere MFT'ye güvenen kuruluşlar, hassas verileri korumak ve olası ihlalleri önlemek için güvenlik güncellemesine öncelik vermelidir.

KAYNAK - https://thehackernews.com/2025/09/fortra-goanywhere-cvss-10-flaw.html