Fortraは、コマンドインジェクションに悪用される可能性のある、GoAnywhereのセキュアなマネージドファイル転送(MFT)ソフトウェアに存在する重大な脆弱性に対するパッチを公開しました。
GoAnywhere MFTは、企業が取引先とのデータ交換を自動化し、安全に行うことを可能にするエンタープライズアプリケーションです。
CVE-2025-10035(CVSSスコア10)として追跡されているこの重大なバグは、アプリケーションのライセンスサーブレットに影響を与える、信頼できないデータのデシリアライズの問題として説明されています。
Fortraのアドバイザリによると、このバグは「有効に偽造されたライセンス応答署名を持つアクターが、任意のアクター制御オブジェクトをデシリアライズし、コマンドインジェクションにつながる可能性がある」とされています。
Rapid7は、この脆弱性が悪用された場合、認証されていない攻撃者が脆弱なGoAnywhere MFTインスタンスでリモートコード実行(RCE)を達成できる可能性があると警告しています。
Fortraは、GoAnywhere MFTバージョン7.8.4およびGoAnywhere MFT Sustainバージョン7.6.3でこのセキュリティ欠陥に対するパッチを提供し、顧客に対してGoAnywhere管理コンソールが外部からアクセスできないことを確認するよう強く求めています。
「この脆弱性の悪用は、システムがインターネットに外部公開されているかどうかに大きく依存します」と同社は述べています。
Fortraはまた、顧客に対して管理監査ログを監視し、不審な活動を確認すること、および例外スタックトレース内に「SignedObject.getObject:」という文字列を含むエラーがログファイルに記録されていないか確認することを推奨しています。これは脆弱性の影響を示しています。
広告。スクロールして記事を読み続けてください。
しかし、Fortraはこの脆弱性が実際に悪用されたという言及はしておらず、Rapid7も公開されたエクスプロイトコードを確認していないと述べています。
「しかし、この製品の性質と過去の経緯を考慮すると、この新たな脆弱性は重大な脅威として扱うべきです」とRapid7は指摘しています。
2023年には、悪名高いCl0pランサムウェアグループに関連するハッカーが、Fortraのファイル転送製品に存在したゼロデイ脆弱性(CVE-2023-0669)を悪用し、顧客環境に不正アカウントを作成し、数十の組織からデータを窃取しました。
関連記事: CISA、Ivanti EPMM侵害からのマルウェアを分析
関連記事: 未修正の脆弱性によりNovakon HMIがリモートハッキングにさらされる
関連記事: 重要インフラ運用者、OT環境でゼロトラストを導入
翻訳元: https://www.securityweek.com/fortra-patches-critical-goanywhere-mft-vulnerability/