研究者たちは、GoAnywhere MFTに影響を及ぼす最大深刻度の脆弱性が、2年前に同じファイル転送サービスで広く悪用された欠陥と顕著な類似点を持つと警告しました。
この製品を提供するサイバーセキュリティベンダーのFortraは、木曜日にこの脆弱性(CVE-2025-10035)を公表し、パッチをリリースしました。このデシリアライズ脆弱性は、「有効に偽造されたライセンス応答署名を持つ攻撃者が、任意の攻撃者制御オブジェクトをデシリアライズできる可能性があり、コマンドインジェクションにつながる可能性がある」と同社はセキュリティアドバイザリで述べています。
ファイル転送サービスは多くの機密データを保存しているため、攻撃者にとって価値の高い標的です。サイバー犯罪者がこれらのサービスを悪用すると、多くのユーザーの情報に一度に素早くアクセスできるため、大規模な攻撃にとって特に魅力的なサービスとなっています。
Fortraは現時点で積極的な悪用の証拠を示しておらず、複数のセキュリティ企業の研究者も悪用を観測していないと述べていますが、近いうちに状況が変わると予想しています。「時間の問題だと考えており、状況を注意深く監視しています」と、watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏はメールで述べています。
この脆弱性はCVSSスコア10であり、「CVE-2023-0669」の説明とほぼ同一です。これはClopによって悪用されたゼロデイ脆弱性で、100以上の組織への攻撃や、少なくとも他に5つのランサムウェアグループによる攻撃につながりました、とVulnCheckのセキュリティリサーチ担当副社長Caitlin Condon氏はブログ記事で述べています。
Clopは非常に活動的で金銭目的のランサムウェアグループであり、ファイル転送サービスの脆弱性を悪用することを専門としています。この脅威グループは、2023年にMOVEit環境へ侵入し、最終的に2,300以上の組織のデータを流出させ、その年最大かつ最も重大なサイバー攻撃となりました。
「設計上、ファイル転送サービスは機密ファイルを処理・保存します」とDewhurst氏は述べています。「これらは脅威アクター、特にランサムウェアグループにとって格好の標的であり、露出したファイルを脅迫材料として利用できます。」
Rapid7のシニアプリンシパルリサーチャーであるStephen Fewer氏は、ファイル転送サービスはしばしばインターネットに公開されており、ネットワーク認証情報がデータアクセス、保存、流通をサポートしているため、攻撃者にとって高価値の標的となっていると指摘しています。
新たな欠陥は認証を必要とせず、デシリアライズ脆弱性は、メモリ破損エラーなど他のバグよりも一般的に信頼性が高いとFewer氏は述べています。
研究者たちは、公開されている概念実証のエクスプロイトコードは把握していませんが、非公開で存在する可能性はあるとしています。「いつものことですが、この脆弱性がゼロデイとして実際に悪用されていた場合(公開時点では不明)、パッチ適用だけでは侵害されたシステムから攻撃者を完全に排除できません」とCondon氏は述べています。
FortraはCyberScoopに対し、9月11日のセキュリティチェック中にこの脆弱性を発見したと伝えました。「インターネット経由で管理コンソールにアクセスできるGoAnywhereの顧客が、認可されていない第三者による情報漏洩のリスクにさらされる可能性があることを特定しました」とFortraの広報マネージャーJessica Ryan氏はメールで述べました。
「私たちは直ちにパッチを開発し、顧客に問題解決のための緩和策を提供しました」と彼女は付け加えました。
このマネージドファイル転送サービスは、Fortune 500企業を含む3,000以上の組織で利用されている3つのGoAnywhere製品のうちの1つです。
このベンダーは、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用脆弱性カタログに3回掲載されており、いずれも2023年の2か月間に追加されています。
翻訳元: https://cyberscoop.com/goanywhere-file-transfer-service-vulnerability-september-2025/