Microsoft patvirtina, kad įsilaužėliai išnaudoja zero-day CVE-2025-10035 pažeidžiamumą GoAnywhere MFT

Šiuolaikinės įmonės pasikliauja saugiu duomenų mainais, naudodamos tam specializuotas priemones. Deja, valdomo failų perdavimo (MFT) programinė įranga vis dažniau tampa kibernetinių nusikaltėlių taikiniais. Zero-day tipo pažeidžiamumo, t.y. tokio, kuriam dar nėra oficialios pataisos, atradimas gali sukelti katastrofiškų pasekmių. Puolėjai tokiu būdu įgyja vertingą pranašumą, galėdami infiltruoti tinklus ir vogti jautrius duomenis.

Kritinis CVE-2025-10035 pažeidžiamumas GoAnywhere MFT leidžia įsilaužėliams perimti serverius. CISA įspėja, o Microsoft patvirtina aktyvius išpuolius.

Microsoft Threat Intelligence patvirtino aktyvų kritinio CVE-2025-10035 pažeidžiamumo išnaudojimą Fortra GoAnywhere Managed File Transfer programinėje įrangoje kibernetinių nusikaltėlių grupės Storm-1175. Pažeidžiamumas gavo maksimalų 10.0 grėsmės įvertinimą CVSS skalėje ir leidžia nuotoliniu būdu vykdyti kodą be autentifikacijos. Įsilaužėliai jį išnaudoja platindami Medusa šifravimo virusą, užšifruodami organizacijų duomenis visame pasaulyje.

Pažeidžiamumas susijęs su licencijų patvirtinimo mechanizmu License Servlet ir leidžia užpuolikams suklastoti kenkėjišką licencijos atsakymą. Dėl to sistema vykdo neautorizuotas sistemines komandas, kas gali lemti visišką IT infrastruktūros kontrolės perėmimą. Problema kyla dėl netinkamo įvesties duomenų deserializavimo, kai programa aklai apdoroja serializuotą informaciją be jos patvirtinimo.

Pirmasis šio pažeidžiamumo išnaudojimas buvo aptiktas 2025 m. rugsėjo 11 d., o tai reiškia, kad įsilaužėliai turėjo prieigą prie zero-day savaitę prieš pažeidžiamumo atskleidimą, įvykusį rugsėjo 18 d. Fortra išleido pataisas GoAnywhere MFT 7.8.4 ir Sustain Release 7.6.3 versijose, tačiau daugelis organizacijų išlieka pažeidžiamos išpuoliams. Cybersecurity and Infrastructure Security Agency CVE-2025-10035 įtraukė į Known Exploited Vulnerabilities katalogą rugsėjo 29 d.

Storm-1175 – tai kinų kibernetinių nusikaltėlių grupė, žinoma dėl Medusa šifravimo viruso naudojimo ir viešai prieinamų programų atakavimo. Po sėkmingo pažeidžiamumo išnaudojimo užpuolikai įdiegia nuotolinio stebėjimo įrankius SimpleHelp ir MeshAgent prieigai išlaikyti. Tada jie sukuria JSP failus GoAnywhere MFT katalogुose ir vykdo tinklo žvalgybos komandas. Komunikacijai naudoja Cloudflare tunelius, o Rclone įrankis jiems tarnauja duomenų vogimui prieš juos užšifruojant Medusa šifravimo virusu.

Ekspertai pabrėžia šio pažeidžiamumo paslaptingumą dėl privačiojo rakto reikalavimo jo išnaudojimui. Rapid7 ir watchTowr Labs analitikai spėlioja, kad Fortra galėjo atsitiktinai atskleisti privatųjį raktą arba jis buvo pavogtas kibernetinių nusikaltėlių. Labiausiai tikėtinas scenarijus – Fortra sistemų kompromitavimas, įskaitant nuotolinius licencijų serverius, kas suteiktų užpuolikams prieigą prie reikalingo privačiojo rakto.

Panašiai kaip ankstesnių išpuolių atveju prieš failų perdavimo programinę įrangą, tokią kaip MOVEit 2023 m. ar Clop kampanija, išnaudojanti CVE-2023-0669 GoAnywhere, dabartiniai išpuoliai smogė į kritinę įmonių infrastruktūrą. GoAnywhere MFT naudojama saugiam jautrių finansinių, personalo duomenų ir teisinių dokumentų perdavimui, todėl yra patrauklus taikinys šifravimo virusų grupėms. Storm-1175 toliau išnaudoja MFT programas savo išpuoliuose. Tokio tipo sistemos tapo patraukliu taikiniu įsilaužėliams, nes suteikia prieigą prie vertingų įmonių duomenų.