GoAnywhere MFT最高严重性漏洞遭零日攻击利用

黑客正在积极利用Fortra的GoAnywhere MFT中的一个最高严重性漏洞（CVE-2025-10035），该漏洞允许未经身份验证的远程命令注入。

供应商于9月18日披露了该漏洞，但公司在一周前就已获悉，并未分享任何关于漏洞发现方式或是否被利用的详细信息。

CVE-2025-10035是GoAnywhere托管文件传输软件许可证Servlet中的一个反序列化漏洞，可被“拥有有效伪造许可证响应签名的攻击者”利用来注入命令。

尽管Fortra的公告尚未更新包含有关该漏洞在攻击中被利用的信息，但WatchTowr Labs的安全研究人员表示，他们收到了“可信证据”，表明Fortra GoAnywhere CVE-2025-10035被用作零日漏洞利用。

“我们收到了可信证据，表明Fortra GoAnywhere CVE-2025-10035在2025年9月10日之前已在野外被利用，”WatchTowr的报告写道。

研究人员指出：“这比Fortra于2025年9月18日发布的公开公告早了八天。”

“这解释了为什么Fortra后来决定发布有限的IOC（入侵指标），我们现在敦促防御者立即改变对时间线和风险的看法。”

WatchTowr确认分析数据包含与漏洞利用相关的堆栈跟踪和后门账户的创建：

从WatchTowr在报告底部发布的入侵指标来看，载荷名为zato_be.exe和jwunst.exe。

后者是远程访问产品SimpleHelp的合法二进制文件。在这种情况下，它被滥用以实现对受感染端点的持久手动控制。

研究人员还指出，攻击者执行了whoami/groups命令，该命令打印当前用户账户和Windows组成员身份，并将输出保存到文本文件（test.txt）以备外泄。

这使得威胁行为者能够检查受感染账户的权限，并在被入侵的环境中探索横向移动的机会。

观察到的CVE-2025-10035漏洞利用痕迹
来源：WatchTowr

BleepingComputer已联系Fortra请求对WatchTowr的发现发表评论，但尚未收到回复。

鉴于CVE-2025-10035的活跃利用状态，建议尚未采取行动的系统管理员升级到已打补丁的版本，可以是7.8.4（最新）或7.6.3（Sustain Release）。

一种缓解措施是移除GoAnywhere管理控制台的公共互联网暴露。

Fortra还建议管理员检查日志文件中是否包含字符串SignedObject.getObject的错误，以确定实例是否已受到影响。