Fortraは、GoAnywhere MFTのライセンスサーブレットに存在する最大深刻度の脆弱性を修正するセキュリティアップデートをリリースしました。この脆弱性はコマンドインジェクション攻撃に悪用される可能性があります。
GoAnywhere MFTは、組織がファイルを安全に転送し、共有ファイルへのアクセス記録を監査ログとして保持できるウェブベースのマネージドファイル転送ツールです。
CVE-2025-10035として追跡されているこのセキュリティ脆弱性は、信頼されていないデータのデシリアライズの弱点によって引き起こされ、ユーザーの操作を必要としない低複雑度のリモート攻撃で悪用される可能性があります。Fortraはこの脆弱性が週末に発見されたと述べていますが、誰が報告したかや、実際に攻撃で悪用されたかどうかについては明らかにしていません。
「FortraのGoAnywhere MFTのライセンスサーブレットにおけるデシリアライズ脆弱性により、正規に偽造されたライセンス応答署名を持つ攻撃者が、任意の攻撃者制御オブジェクトをデシリアライズでき、コマンドインジェクションにつながる可能性があります」と、同社は木曜日に公開したセキュリティアドバイザリで述べています。
「2025年9月11日に実施したセキュリティチェックの際、インターネット経由でアクセス可能な管理コンソールを持つGoAnywhereの顧客が、第三者による不正アクセスのリスクにさらされている可能性があることを確認しました」とFortraはBleepingComputerに語りました。「私たちは直ちにパッチを開発し、顧客に対して問題解決のための緩和策を提供しました。顧客は直ちに設定を確認し、管理コンソールへの公開アクセスを削除してください。」
同社はCVE-2025-10035のパッチを含むGoAnywhere MFT 7.8.4およびSustain Release 7.6.3をリリースし、すぐにソフトウェアをアップグレードできないIT管理者には、GoAnywhere管理コンソールがインターネットからアクセスできないようにして脆弱なシステムを保護するよう勧告しています。
「この脆弱性の悪用は、システムがインターネット上に外部公開されているかどうかに大きく依存します」とFortraは付け加えています。
非営利団体Shadowserver Foundationのセキュリティアナリストは、オンライン上に公開されている470以上のGoAnywhere MFTインスタンスを監視していますが、これらのうちどれだけがすでにパッチ適用済みかは不明です。
CVE-2025-10035が現時点で積極的に悪用されているとは認定されていませんが、管理者はGoAnywhere MFTインスタンスにパッチを適用することが推奨されています。なぜなら、脅威アクターは安全なファイル転送ソリューション(GoAnywhere MFTなど)を、機密文書の共有に頻繁に使用されるため魅力的な標的と見なしているからです。
例えば、Clopランサムウェアグループは、2年前にGoAnywhere MFTソフトウェアの重大なリモートコード実行脆弱性(CVE-2023-0669)をゼロデイ攻撃で悪用し、130以上の組織に侵入したと主張しています。
Fortra(旧称HelpSystems)は、GoAnywhere MFTおよび広く悪用されている脅威エミュレーションツールCobalt Strikeの開発元であり、世界中の9,000以上の組織にソフトウェアおよびサービスを提供していると述べています。
