概述
文件传输漏洞正在被积极利用 GoAnywhere MFT的License Servlet中存在关键反序列化漏洞(CVSS 10.0),攻击者可通过伪造许可证响应签名反序列化任意对象,导致命令注入和远程代码执行(RCE)。FortiGuard遥测数据显示针对GoAnywhere MFT实例的持续高容量利用尝试。
常见漏洞和暴露 CVE-2025-10035
背景
GoAnywhere MFT实例部署用于促进跨网络文件传输,有时会暴露给外部或半信任网络。暴露于不受信任网络意味着威胁行为者有更多机会探测和利用。在初始RCE之后,攻击者可以进行横向移动:安装恶意软件、投放后门、收集凭据、横向移动或窃取数据。Storm-1175(由Microsoft威胁情报跟踪)正在积极利用此漏洞。该组织与Medusa勒索软件操作相关联,以针对面向公众的应用程序进行初始访问而闻名。
威胁雷达
总体评分:3.8
- CVSS评分:10.0
- FortiRecon评分:95/100
- 已知利用:是
- 漏洞利用预测评分:46.91%
- FortiGuard遥测:6946
最新进展
FortiGuard客户通过多层防御保护免受此漏洞利用。但是,强烈建议立即修补受影响系统。具有未修补GoAnywhere MFT部署的组织面临极高的泄露风险,包括勒索软件交付和数据盗窃。
- 2025年10月29日:CISA将CVE-2025-1003添加到已知利用漏洞目录
- 2025年10月7日:Microsoft威胁情报调查CVE-2025-10035 GoAnywhere托管文件传输漏洞的主动利用
- 2025年9月18日:Fortra披露CVE-2025-10035,GoAnywhere MFT License Servlet中的关键反序列化漏洞
FortiGuard网络安全框架
防护
- 漏洞:检测运行漏洞应用程序的终端用户设备
- IPS:检测并阻止利用该漏洞的攻击尝试
检测
- IOC:妥协指标检测
- 爆发检测:实时威胁检测
- 威胁狩猎:主动威胁搜寻
响应
- 自动响应:自动响应服务
- 辅助响应服务:专家协助分析、遏制和响应活动
恢复
- NOC/SOC培训:培训网络和安全专业人员
- 终端用户培训:提高员工安全意识
识别
- 漏洞管理:检测运行漏洞应用程序的终端用户设备
- 攻击面监控:内外攻击面监控
- 攻击面强化:构建可操作的配置建议
威胁情报
妥协指标(IOC)
| 指标 | 类型 | 状态 |
|---|---|---|
| 155.2.190.197 | IP | 活跃 |
| 213.183.63.41 | IP | 活跃 |
| 31.220.45.120 | IP | 活跃 |
| 4106c35ff46bb6f2f4a42d63a2b8a619f1e1df72414122ddf6 | 文件 | 活跃 |
| 45.11.183.123 | IP | 活跃 |
IOC威胁活动
- 过去24小时:8
- 趋势:-71%
主要目标国家(过去7天)
- 美国:11,006
- 阿联酋:10,425
- 澳大利亚:3,820
- 德国:2,914
主要目标行业(过去7天)
- 技术:9,120
- 政府:3,884
- 银行/金融/保险:3,691
- 教育:2,927
入侵防护
Fortra GoAnywhere MFT CVE-2025-10035命令注入
- 过去24小时:595
- 趋势:-37%
参考资料
- CISA KEV
- watchTowr Labs
- Microsoft博客
- FortiGuard爆发警报相关信息