GoAnywhere MFT漏洞分析：命令注入风险与防护措施

漏洞概述

在GoAnywhere托管文件传输（MFT）中发现了一个可能允许命令注入的漏洞。GoAnywhere MFT是一款企业级软件解决方案，用于安全地自动化、管理和跟踪所有组织文件传输，无论是服务器到服务器还是人员到人员的传输。成功利用此漏洞可能允许具有有效伪造许可证响应签名的攻击者反序列化任意攻击者控制的对象，可能导致命令注入。

威胁情报

目前尚未有报告表明此漏洞在野外被利用。

受影响系统

GoAnywhere托管文件传输（MFT）版本低于最新版本7.8.4或Sustain Release 7.6.3

风险等级

政府机构：

• 大型和中型政府实体：高风险
• 小型政府实体：中等风险

企业：

• 大型和中型企业实体：高风险
• 小型企业实体：中等风险

家庭用户： 低风险

技术详情

在GoAnywhere托管文件传输（MFT）中发现了一个可能允许命令注入的漏洞。漏洞详情如下：

战术： 初始访问（TA0001） 技术： 利用面向公众的应用程序（T1190）

Fortra的GoAnywhere MFT中的许可证Servlet存在反序列化漏洞，允许具有有效伪造许可证响应签名的攻击者反序列化任意攻击者控制的对象，可能导致命令注入。Fortra建议确保GoAnywhere管理控制台的访问不向公众开放。此漏洞的利用高度依赖于系统是否外部暴露在互联网上。（CVE-2025-10035）

成功利用此漏洞可能允许具有有效伪造许可证响应签名的攻击者反序列化任意攻击者控制的对象，可能导致命令注入。

修复建议

我们建议采取以下措施：

• 在适当测试后立即将Fortra或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统（M1051：更新软件）

• 实施保障措施7.1：建立和维护企业资产的漏洞管理流程

• 实施保障措施7.2：建立和维护基于风险的修复流程

• 实施保障措施7.4：执行自动化应用程序补丁管理

• 实施保障措施7.5：执行内部企业资产的自动化漏洞扫描

• 实施保障措施7.7：修复检测到的漏洞

• 实施保障措施12.1：确保网络基础设施保持最新状态

• 实施保障措施18.1：建立和维护渗透测试计划

• 实施保障措施18.2：执行定期外部渗透测试

• 实施保障措施18.3：修复渗透测试发现的问题

• 对所有系统和服务应用最小权限原则。以非特权用户（没有管理权限的用户）身份运行所有软件，以减少成功攻击的影响（M1026：特权账户管理）

• 实施保障措施4.7：管理企业资产和软件上的默认账户

• 实施保障措施5.5：建立和维护服务账户清单

• 使用漏洞扫描来查找可能被利用的软件漏洞并进行修复（M1016：漏洞扫描）

• 实施保障措施16.13：执行应用程序渗透测试

• 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云（VPC）实例来隔离关键云系统（M1030：网络分段）

• 实施保障措施12.2：建立和维护安全的网络架构

• 使用功能来检测和阻止可能导致或表明软件利用发生的条件（M1050：利用保护）

• 实施保障措施10.5：启用反利用功能

参考链接

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10035
• Fortra：https://www.fortra.com/security/advisories/product-security/fi-2025-012