攻击者利用关键Fortra GoAnywhere漏洞进行零日攻击（CVE-2025-10035）

CVE-2025-10035是Fortra GoAnywhere托管文件传输解决方案中的一个完美CVSS 10.0漏洞，显然在2025年9月15日补丁发布之前已被利用于零日攻击。

野外利用证据曝光

9月18日，Fortra敦促GoAnywhere用户升级到7.8.4版本或v7.6.3（持续发布版本），以修复解决方案许可证Servlet中的反序列化漏洞，该漏洞“允许具有有效伪造许可证响应签名的参与者反序列化任意参与者控制的对象，可能导致命令注入”。

由于发现Fortra分享特定日志字符串作为“实例可能受此漏洞影响”的证据很奇怪，watchTowr研究人员决定自行调查该漏洞及其修复方案。

在他们公开分析结果并分享认为Fortra可能在发布修复程序后不久就知道该漏洞正在被积极利用后，他们收到了一位个人的联系，该个人提供了CVE-2025-10035在2025年9月10日就被野外利用的“可信证据”。

“这比Fortra于2025年9月18日发布的公开公告早了八天，”watchTowr研究人员指出。“这解释了为什么Fortra后来决定发布有限的IOC（入侵指标），我们现在敦促防御者立即改变对时间线和风险的思考方式。”

大约在同一时间，Rapid7研究人员也分析了该漏洞和修复方案，并得出结论认为问题不仅仅是单个反序列化漏洞，而是一个包含以下环节的漏洞链：

Rapid7和watchTowr研究人员都推测了攻击者如何获取此私钥，但对客户而言，现在重要的是检查其安装和底层系统是否存在watchTowr分享的入侵指标。

根据研究人员的说法，在触发漏洞并在易受攻击的GoAnywhere MFT实例上实现远程代码执行后，攻击者创建了一个名为admin-go的管理员账户，该账户有效地充当后门。

通过此账户，他们创建了一个Web用户，并通过该用户上传并执行了一个未知的第二阶段植入物和一个SimpleHelp（远程支持软件）二进制文件。

发现入侵证据的用户应进一步调查以发现违规的全部范围。但无论是否发现证据，他们都应尽快升级到固定版本。