2025年9月19日Ravie Lakshmanan脆弱性 / 脅威インテリジェンス
Fortraは、GoAnywhere Managed File Transfer(MFT)ソフトウェアにおける、任意のコマンドが実行される可能性のある重大なセキュリティ脆弱性の詳細を公開しました。
この脆弱性はCVE-2025-10035として追跡されており、CVSSスコアは10.0と、最大の深刻度を示しています。
「FortraのGoAnywhere MFTのライセンスサーブレットにおけるデシリアライズの脆弱性により、正規に偽造されたライセンス応答署名を持つ攻撃者が、任意の攻撃者制御オブジェクトをデシリアライズできるため、コマンドインジェクションにつながる可能性があります」とFortraは木曜日に公開したアドバイザリで述べています。
同社はまた、この脆弱性の悪用が成功するには、システムがインターネット経由で公開されている必要があると指摘しています。
ユーザーには、脅威から保護するためにパッチ適用済みリリース(バージョン7.8.4またはSustain Release 7.6.3)へのアップデートが推奨されています。すぐにパッチを適用できない場合は、GoAnywhere管理コンソールへのアクセスが公開されていないことを確認することが望ましいです。
Fortraは、この脆弱性が実際に悪用されたという言及はしていません。しかし、同じ製品で以前に公開された脆弱性(CVE-2023-0669、CVSSスコア:7.2)は、ランサムウェア攻撃者によってゼロデイとして悪用され、機密データの窃取に利用されました。
さらに昨年初めには、GoAnywhere MFTにおける別の重大な脆弱性(CVE-2024-0204、CVSSスコア:9.8)に対処し、これが悪用されると新たな管理者ユーザーを作成できる可能性がありました。
「FortraのGoAnywhere MFTソリューションで新たに公開された脆弱性は、以前のCVE-2023-0669と同じ管理コンソールのライセンスコードパスに影響を与えます。CVE-2023-0669は2023年にLockBitを含む複数のランサムウェアおよびAPTグループによって広く悪用されました」と、watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏はThe Hacker Newsに寄せた声明で述べています。
「数千のGoAnywhere MFTインスタンスがインターネットに公開されているため、この問題は間もなく実際の攻撃で武器化されることがほぼ確実です。Fortraは外部公開が悪用に必要だと述べていますが、これらのシステムは設計上インターネットに面していることが一般的であり、組織は自らが脆弱であると想定すべきです。組織は公式パッチを直ちに適用し、管理コンソールへの外部アクセスを制限する措置を講じる必要があります。」
翻訳元: https://thehackernews.com/2025/09/fortra-releases-critical-patch-for-cvss.html