GoAnywhere MFT反序列化漏洞可导致命令注入攻击

本文详细分析了GoAnywhere托管文件传输软件中的反序列化漏洞CVE-2025-10035,该漏洞可能允许攻击者通过伪造许可证响应签名执行命令注入,影响版本7.8.4之前的所有系统。

GoAnywhere MFT反序列化漏洞可导致命令注入攻击

MS-ISAC 咨询编号:2025-088
发布日期:2025年9月19日

概述

在GoAnywhere托管文件传输(MFT)中发现了一个可能允许命令注入的漏洞。GoAnywhere MFT是一款企业级软件解决方案,用于安全自动化、管理和跟踪所有组织文件传输,无论是服务器到服务器还是个人到个人。成功利用此漏洞可能允许具有有效伪造许可证响应签名的攻击者反序列化任意攻击者控制的对象,可能导致命令注入。

威胁情报

目前尚未有报告表明此漏洞在野外被利用。

受影响系统

GoAnywhere托管文件传输(MFT)版本低于最新版本7.8.4或维护版本7.6.3

风险等级

政府机构:

  • 大中型政府实体:高
  • 小型政府实体:中

企业:

  • 大中型企业实体:高
  • 小型企业实体:中

家庭用户:低

技术详情

在GoAnywhere托管文件传输(MFT)中发现了一个可能允许命令注入的漏洞。漏洞详情如下:

战术:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190)

Fortra的GoAnywhere MFT许可证Servlet中的反序列化漏洞允许具有有效伪造许可证响应签名的攻击者反序列化任意攻击者控制的对象,可能导致命令注入。Fortra建议确保GoAnywhere管理控制台的访问不向公众开放。此漏洞的利用高度依赖于系统是否外部暴露在互联网上。(CVE-2025-10035)

成功利用此漏洞可能允许具有有效伪造许可证响应签名的攻击者反序列化任意攻击者控制的对象,可能导致命令注入。

建议措施

我们建议采取以下行动:

  • 在适当测试后立即将Fortra或其他使用此软件的供应商提供的适当更新应用到易受攻击的系统。(M1051:更新软件)

  • 保障措施7.1:建立和维护漏洞管理流程

  • 保障措施7.2:建立和维护修复流程

  • 保障措施7.4:执行自动化应用程序补丁管理

  • 保障措施7.5:执行内部企业资产的自动化漏洞扫描

  • 保障措施7.7:修复检测到的漏洞

  • 保障措施12.1:确保网络基础设施是最新的

  • 保障措施18.1:建立和维护渗透测试计划

  • 保障措施18.2:执行定期外部渗透测试

  • 保障措施18.3:修复渗透测试发现的问题

  • 对所有系统和服务应用最小权限原则。以非特权用户身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)

  • 保障措施4.7:管理企业资产和软件上的默认账户

  • 保障措施5.5:建立和维护服务账户清单

  • 使用漏洞扫描来发现可能被利用的软件漏洞并进行修复。(M1016:漏洞扫描)

  • 保障措施16.13:执行应用程序渗透测试

  • 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云实例来隔离关键云系统。(M1030:网络分段)

  • 保障措施12.2:建立和维护安全的网络架构

  • 使用功能来检测和阻止可能导致或指示软件利用发生的条件。(M1050:利用保护)

  • 保障措施10.5:启用反利用功能

参考资料

  • CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10035
  • Fortra:https://www.fortra.com/security/advisories/product-security/fi-2025-012
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次