Fortra GoAnywhere MFT攻击 | 爆发警报
发布日期:2025年10月7日
概述
文件传输漏洞正在被积极利用
GoAnywhere MFT的License Servlet中存在关键反序列化漏洞(CVSS 10.0),目前正在被积极利用。该漏洞允许攻击者通过伪造的许可证响应签名反序列化任意对象,从而导致命令注入和远程代码执行(RCE)。FortiGuard遥测数据显示,针对GoAnywhere MFT实例的利用尝试持续且量级很高。
常见漏洞和暴露
CVE-2025-10035
背景
GoAnywhere MFT实例部署用于促进跨网络的文件传输,有时会暴露给外部或半可信网络。暴露于不可信网络意味着威胁行为者有更好的机会进行探测和利用。在初始RCE之后,攻击者可以进行横向移动:安装恶意软件、投放后门、收集凭据、横向移动或窃取数据。Storm-1175(由Microsoft威胁情报跟踪)正在积极利用此漏洞。该组织与Medusa勒索软件操作相关联,并以针对面向公众的应用程序进行初始访问而闻名。
威胁雷达
总体评分:3.8
- CVSS评分:10.0
- FortiRecon评分:95/100
- 已知被利用:是
- 漏洞利用预测评分:60.12%
- FortiGuard遥测:6080
最新进展
FortiGuard客户通过多层防御保护免受此漏洞利用的影响。但是,强烈建议立即修补受影响系统。具有未修补GoAnywhere MFT部署的组织面临极高的泄露风险,包括勒索软件投放和数据盗窃。
- 2025年10月29日:CISA将CVE-2025-1003添加到已知被利用漏洞目录
- 2025年10月7日:Microsoft威胁情报调查CVE-2025-10035 GoAnywhere托管文件传输漏洞的主动利用
- 2025年9月18日:Fortra披露CVE-2025-10035,GoAnywhere MFT License Servlet中的关键反序列化漏洞
FortiGuard网络安全框架
通过利用各种FortiGuard服务来缓解安全威胁和漏洞。
保护
- 漏洞:检测运行易受攻击应用程序的终端用户设备
- IPS:检测和阻止利用该漏洞的攻击尝试
检测
- IOC:危害指标
- 爆发检测:实时威胁检测
- 威胁狩猎:主动威胁搜寻
响应
- 自动响应:可自动响应此爆发的服务
- 辅助响应服务:专家协助分析、遏制和响应活动
恢复
- NOC/SOC培训:培训网络和安全专业人员
- 终端用户培训:提高员工安全意识
识别
- 漏洞管理:检测运行易受攻击应用程序的终端用户设备
- 攻击面监控:内外攻击面监控
- 攻击面强化:构建可操作的配置建议
威胁情报
从分析持续网络安全事件中收集的信息,包括威胁行为者、其战术、技术和程序(TTP)、危害指标(IOC)、恶意软件和相关漏洞。
危害指标
IOC指标列表
| 指标 | 类型 | 状态 |
|---|---|---|
| 155.2.190.197 | ip | 活跃 |
| 213.183.63.41 | ip | 活跃 |
| 31.220.45.120 | ip | 活跃 |
| 4106c35ff46bb6f2f4a42d63a2b8a619f1e1df72414122ddf6 | file | 活跃 |
| 45.11.183.123 | ip | 活跃 |
IOC威胁活动
- 过去24小时:33
- 趋势:-62%
目标分布
前5名目标国家(过去7天网络攻击量最高)
- 美国:21,902
- 德国:17,203
- 阿联酋:15,734
- 澳大利亚:5,718
前5名目标行业(过去7天网络攻击量最高)
- 技术:20,951
- 汽车:9,177
- 政府:7,890
- 银行/金融/保险:6,550
入侵防护
Fortra GoAnywhere MFT CVE-2025-10035命令注入
- 过去24小时:737
- 趋势:-26%
参考资料
支持与此爆发和供应商相关的信息来源:
- CISA KEV
- watchTowr Labs
- Microsoft博客
- FortiGuard爆发警报相关信息