Fortra GoAnywhere CVSS 10漏洞在公开披露前一周已被零日利用
网络安全公司watchTowr Labs披露,其拥有"可信证据"表明Fortra GoAnywhere托管文件传输(MFT)软件中近期披露的安全漏洞早在2025年9月10日就已被活跃利用,比公开披露时间提前了整整一周。
watchTowr首席执行官兼创始人Benjamin Harris表示:“这不仅是APT组织和勒索软件运营商长期青睐的解决方案中的CVSS 10.0漏洞,更是一个至少从2025年9月10日起就在野外被积极利用的漏洞。”
该漏洞被标识为CVE-2025-10035,被描述为License Servlet中的反序列化漏洞,可能导致未经身份验证的命令注入。Fortra上周发布了GoAnywhere版本7.8.4或Sustain Release 7.6.3来修复此问题。
根据watchTowr本周初发布的分析,该漏洞的成因在于攻击者可以向"/goanywhere/license/Unlicensed.xhtml/“端点发送特制的HTTP GET请求,直接与暴露在”/goanywhere/lic/accept/
利用此身份验证绕过,攻击者可以利用License Servlet中不足的反序列化保护措施导致命令注入。然而,研究人员Sonny Macdonald和Piotr Bazydlo指出,这种情况具体如何发生仍是个谜。
网络安全供应商Rapid7也发布了关于CVE-2025-10035的发现,称其不是单个反序列化漏洞,而是三个独立问题的组合链:
- 自2023年以来已知的访问控制绕过
- 不安全的反序列化漏洞CVE-2025-10035
- 关于攻击者如何知道特定私钥的尚未明确的问题
在周四发布的后续报告中,watchTowr表示收到了包括堆栈跟踪在内的利用证据,这些证据支持创建后门账户。活动序列如下:
- 触发Fortra GoAnywhere MFT中的预认证漏洞以实现远程代码执行(RCE)
- 使用RCE创建名为"admin-go"的GoAnywhere用户
- 使用新创建的账户创建Web用户
- 利用Web用户与解决方案交互,上传并执行其他有效负载,包括SimpleHelp和未知植入程序(“zato_be.exe”)
该网络安全公司还表示,威胁行为者活动源自IP地址155.2.190[.]197,根据VirusTotal的数据,该IP地址在2025年8月初因针对Fortinet FortiGate SSL VPN设备进行暴力攻击而被标记。然而,watchTowr告诉The Hacker News,尚未观察到该IP地址针对其蜜罐的任何此类活动。
鉴于野外利用的迹象,用户必须尽快应用修复程序(如果尚未这样做)。The Hacker News已联系Fortra寻求评论,如果我们收到回复,将更新报道。