Fortraは、これまでで最も強い表現で、GoAnywhere MFTで公開した最大深刻度の脆弱性が実際に攻撃で悪用されていることを認めました。しかし、研究者たちは依然として、攻撃者が悪用に必要な秘密鍵をどのように入手したのかについて、ベンダーにさらなる説明を求めています。
同社は木曜日にCVE-2025-10035に関する調査の概要を公開しました。これは、初めてファイル転送サービスの脆弱性について公に言及してから3週間後のことです。「現時点で、CVE-2025-10035に関連する不正な活動の報告は限られています」と同社は述べています。
「FortraがCVE-2025-10035に関する透明性を高めているのは前向きなことです」とwatchTowrの創設者兼CEOであるBen Harris氏はCyberScoopに語りました。「しかし、謎は残ったままです。watchTowrの研究者や他の専門家も、この脆弱性がFortraだけがアクセスできると考えられている秘密鍵なしでどのように悪用できるのか、いまだに不明です。」
watchTowr、Rapid7、VulnCheckの研究者たちは先月、攻撃者が悪用を実現するために踏むべき手順を独自に確認した後、秘密鍵に関する警鐘を鳴らしました。
「Fortraが『CVE-2025-10035に関連する不正な活動』を認めたという事実は、この脆弱性が理論上のものではなく、攻撃者が何らかの方法で暗号要件を回避、もしくは満たしてこの脆弱性を悪用したことを改めて示しています」とHarris氏は述べました。
Fortraと研究者たちが引き続き実際の悪用の証拠を探し続けている中、侵害の範囲はこの1か月で拡大し続けています。Fortraはまた、脆弱性を公表し対処する前に、舞台裏で行った対応やタイムラインについても詳細を共有しました。
Fortraのセキュリティ担当者は、9月11日に顧客から不審な活動の報告を受けた後、潜在的な脆弱性の調査を開始しました。顧客のログを調査した後、同社は影響を受けた可能性のある顧客への通知を開始し、同日に悪意のある活動を法執行機関に報告しました。
同社はまた、クラウドベースのGoAnywhere MFT環境で「脆弱性に関連する可能性のある不審な活動」が3件見つかったと述べています。Fortraはこれらのインスタンスをさらなる調査のために隔離し、これらのマネージドサービスを利用している顧客に潜在的な被害の可能性を通知しました。
同社は9月17日にクラウドベースの顧客向けサービスにパッチを適用しましたが、オンプレミスの顧客環境やFortraホスト型サービスでどの程度脆弱性が悪用されたかについては説明していません。同社は、GoAnywhere MFTのすべての自社ホストインスタンスを更新し、インフラの再構築も行ったと述べています。
Fortraは月曜日にCyberScoopから送られた質問には回答しませんでした。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は9月29日、CVE-2025-10035を既知の悪用脆弱性カタログに追加し、この欠陥がランサムウェアキャンペーンで使用されていることを指摘しました。Microsoft Threat Intelligenceも先週これに続き、同社が「Storm-1175」として追跡しているサイバー犯罪グループがCVE-2025-10035を悪用し、ランサムウェアを含む多段階攻撃を開始したことを明らかにしました。
Fortraはこれらの報告を受けた後も、実際の悪用を認識しているかどうかの確認を繰り返し拒否してきました。同社は以前、セキュリティアドバイザリに侵害の指標を追加しましたが、木曜日までこの欠陥に関連する不正な活動の報告を認識しているとは述べていませんでした。
翻訳元: https://cyberscoop.com/fortra-goanywhere-vulnerability-exploitation/
