出典:Arletta_Cwalina(Alamy Stock Photo経由)
ニュース速報
Fortraは、GoAnywhere Managed File Transfer(MFT)のライセンスサーブレットで発見された最大深刻度の脆弱性に対するセキュリティアップデートをリリースしました。この脆弱性はCVSSスコアで最高値の10点満点を記録しています。
Fortraのアドバイザリによると、この脆弱性(CVE-2025-10035)が悪用された場合、「有効に偽造されたライセンス応答署名を持つ攻撃者が、任意の攻撃者制御オブジェクトをデシリアライズでき、結果としてコマンドインジェクションにつながる可能性がある」とのことです。Fortraによれば、この脆弱性は9月11日に最初に発見されましたが、誰によって発見されたかはアドバイザリには記載されていません。
この脆弱性は、GoAnywhereの最新リリース(7.8.4)またはSustain Release(7.6.3)で修正されています。追加の緩和策として、Fortraは組織やユーザーに対し、GoAnywhere管理コンソールへのアクセスがパブリックインターネットに公開されていないことを直ちに確認するよう強く求めています。
「この脆弱性の悪用は、システムが外部からインターネットに公開されているかどうかに大きく依存します」とFortraはアドバイザリで述べています。
GoAnywhere MFTは、企業がファイルを安全に転送するために設計されたソフトウェア製品です。近年、攻撃者はProgress SoftwareのMOVEit Transferや、最近ではCleo MFTなど、MFT製品の脆弱性を狙っています。
CVE-2025-10035は、FortraのGoAnywhere MFTソフトウェアにおける他の高深刻度の脆弱性に続くものです。2024年には、概念実証(PoC)エクスプロイトが、CVE-2024-0204として追跡されている重大な脆弱性について、顧客に非公開で最初に通知された後に公開されました。また2023年には、Cl0pランサムウェアグループがMFT製品のゼロデイ脆弱性を悪用し、130以上の組織のシステムにランサムウェアを展開することを可能にしました。