Când un produs utilizat pentru transfer securizat de fișiere devine ținta atacurilor, toți cei responsabili de infrastructura IT trebuie să fie atenți. Vulnerabilitatea CVE-2025-10035 din GoAnywhere MFT, dezvoltat de Fortra, permite execuția de comenzi la distanță fără autentificare și a fost exploatată în mediul real înainte ca vendorul să dezvăluie detalii.
Fortra a făcut publică problema pe 18 septembrie 2025, deși compania știa despre vulnerabilitate cu o săptămână înainte și nu a explicat cum a fost descoperită sau dacă era deja folosită. CVE-2025-10035 este o vulnerabilitate de deserializare în License Servlet al GoAnywhere MFT; un atacator care poate falsifica o semnătură de răspuns pentru licență poate injecta comenzi. Cercetătorii WatchTowr Labs susțin că au obținut dovezi credibile despre exploatarea activă a acestei vulnerabilități încă din 10 septembrie 2025, cu opt zile înainte de anunțul public al Fortra. Din perspectiva apărării, acest lucru obligă la reevaluarea timeline-urilor și a riscurilor asociate dezvăluirilor.
Analiza WatchTowr include un stack trace care arată cum atacatorii au obținut executarea la distanță a comenzilor prin vulnerabilitatea de deserializare pre-autentificare, au creat un cont backdoor numit admin-go și au folosit acest cont pentru a crea un utilizator web cu acces aparent legitim. După instalarea celui de-al doilea strat, au încărcat și rulat payload-uri secundare. Din IOC-urile publicate de cercetători, fișierele malițioase sunt numite zato_be.exe și jwunst.exe. jwunst.exe este, de fapt, un binar legitim al soluției de acces la distanță SimpleHelp; aici a fost folosit abuziv pentru menținerea persistenței și control manual al sistemelor compromise.
Datele colectate arată, de asemenea, că atacatorii au rulat comanda whoami/groups pentru a afișa contul curent și grupurile Windows asociate, salvând rezultatul într-un fișier text test.txt, probabil în vederea exfiltrării. Această acțiune le permite să evalueze privilegiile contului compromis și să identifice oportunități de mișcare laterală în rețea.
Fortra nu a oferit încă un comentariu pentru BleepingComputer privind concluziile WatchTowr. Până la clarificări suplimentare, recomandarea pentru administratori este actualizarea instanțelor vulnerabile la o versiune patch-uită: 7.8.4 (cea mai recentă) sau 7.6.3 (Sustain Release). O altă măsură de atenuare este eliminarea expunerii publice a consolei GoAnywhere Admin pe internet. Fortra a sugerat și inspectarea fișierelor de log pentru erori ce conțin șirul SignedObject.getObject ca indicator posibil al impactului.
Raportul WatchTowr indică payload-uri specifice (zato_be.exe, jwunst.exe) și pași folosiți de atacatori (creare admin-go, creare utilizator web, rulare whoami/groups), informații utile pentru detectare și răspuns. Actualizarea la versiunile recomandate și revizuirea jurnalelor rămân măsuri imediate practice pentru reducerea riscului. Următorii pași depind de câte organizații au aplicat deja patch-urile sau au izolat consola Admin de accesul public; timpul rămâne un factor critic.
Numele fișierelor zato_be.exe și jwunst.exe figurează în IOC-urile raportate, iar versiunea recomandată de Fortra este 7.8.4. Ce pași vei urma pentru a verifica dacă instanțele GoAnywhere din rețeaua ta sunt afectate?
Fii primul care comentează