研究者らは、過去にランサムウェア集団によって悪用された脆弱性のため、組織に対してGoAnywhere MFTの導入環境を直ちにアップグレードするよう警告しています。
FortraのGoAnywhere MFTソリューションの利用者は、攻撃者による任意のコマンド注入および実行を許す可能性のある重大な脆弱性に対して、パッチを適用するよう強く求められています。
この脆弱性は、CVE-2025-10035として追跡されており、CVSSスケールで最大の深刻度スコア10が付与されています。これは、アプリケーションのLicense Servletコンポーネントにおける安全でないデシリアライズの状態に起因しています。
GoAnywhere MFTは、企業がさまざまなプロトコルを使用してパートナー、従業員、内部システム間で安全にファイルを交換できるエンタープライズ向けのマネージドファイル転送ソリューションです。この製品は、他のMFTソリューションと同様に、過去にランサムウェア集団によって企業ネットワークへの初期アクセス手段として標的にされてきました。
「FortraのGoAnywhere MFTソリューションに新たに公開された重大な脆弱性CVE-2025-10035の説明と根本原因は、2023年にCl0pを含むランサムウェアグループによって広く悪用されたもう一つの重大な問題であるCVE-2023-0669とほぼ同一です」と、セキュリティインテリジェンス企業VulnCheckのリサーチ担当副社長Caitlin Condon氏はCSOにメールで語りました。「現時点ではCVE-2025-10035が実際に悪用されたかどうかは明らかではありませんが、ランサムウェアやその他のAPTグループがこの新たな脆弱性を標的としたエクスプロイトの開発に強い動機を持つことは間違いありません。」
この新しい脆弱性は、9月13日に発見されてから5日後にパッチが適用されました。利用者は、自身が使用しているリリースに応じてGoAnywhere MFTバージョン7.8.4または7.6.3へのアップデートが推奨されています。
攻撃者がGoAnywhereの管理コンソールにアクセスし、任意のアクターが制御するオブジェクトをデシリアライズするための正規に偽造されたライセンス応答署名を送信できる場合に、悪用が成功します。Fortraは、管理コンソールをインターネットに直接公開しないようユーザーに助言しています。
現時点では、概念実証エクスプロイトが公開された、または攻撃者がすでにこの脆弱性を標的にしているという兆候はありませんが、今後状況が変わる可能性があります。Cl0pランサムウェア集団が2023年1月にGoAnywhereのCVE-2023-0669をゼロデイとして悪用した際、攻撃者は130の組織が侵害されたと主張しました。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。