サイバーセキュリティ企業watchTowrの報告によると、最近公開されたFortra GoAnywhere MFTの脆弱性の悪用は、パッチがリリースされる少なくとも1週間前から始まっていました。
Fortraは、CVE-2025-10035(CVSSスコア10/10)として追跡されているこのセキュリティ欠陥を9月18日に修正しましたが、実際に悪用されていることには言及せず、組織が潜在的な攻撃を調査できるようインジケーター(IoC)を共有しました。
この脆弱性は、セキュアファイル転送アプリケーションのライセンスサーブレットにおけるデシリアライズ脆弱性と説明されており、攻撃者が偽造したライセンス応答署名を用いることで細工されたオブジェクトをデシリアライズし、コマンドインジェクションを実現できる可能性があります。
「直ちにGoAnywhere管理コンソールへのアクセスが公開されていないことを確認してください。この脆弱性の悪用は、システムがインターネットに外部公開されているかどうかに大きく依存します」とFortraは警告しています。
watchTowrによると、FortraはCVE-2025-10035のパッチ提供が8日遅れており、この問題は9月11日に発見された時点でゼロデイとして悪用されていました。
「Fortra GoAnywhere CVE-2025-10035が実際に悪用されていたという信頼できる証拠が2025年9月10日まで遡って確認されています。これはFortraの公式アドバイザリ公開の8日前です」とwatchTowrは指摘しています。
観測された攻撃の一環として、ハッカーは認証なしでリモートコード実行(RCE)のためにこの脆弱性を利用し、脆弱なインスタンスにバックドア管理者アカウントを作成しました。
その後、彼らはこのアカウントを利用してMFTサービスへのアクセスを可能にするWebユーザーを作成し、さまざまな追加ペイロードのアップロードと実行に使用しました。
広告。スクロールして続きを読む。
CVEの技術分析の中で、watchTowrはインターネットからアクセス可能なGoAnywhere MFTインスタンスが2万件以上存在し、その中にはフォーチュン500企業の導入事例も含まれていると指摘しています。
独自の詳細分析を行ったサイバーセキュリティ企業Rapid7は、これは単純なデシリアライズ問題ではなく、3つの個別のバグが連鎖したものだと説明しています。
「これには2023年から知られているアクセス制御バイパス、危険なデシリアライズ脆弱性CVE-2025-10035、そして攻撃者がどのように特定の秘密鍵を知り得るかに関する未解明の問題が含まれます」とRapid7は説明しています。
同社は2023年2月、FortraがGoAnywhere MFTの事前認証リモートコード実行バグを修正した際に、このアクセス制御バイパスを指摘していました。このバグはゼロデイとして悪用されていました。
watchTowrとRapid7の両社は、CVE-2025-10035の悪用に必要なライセンス応答署名を偽造するための秘密鍵「serverkey1」を発見できなかったと強調しています。
両社は、この秘密鍵が漏洩し攻撃者が入手した場合、攻撃者がライセンスサーバーを騙して悪意のある署名をさせた場合、または何らかの未知の方法で攻撃者がserverkey1にアクセスできた場合に、このセキュリティ欠陥の悪用が可能になると指摘しています。
関連記事: 中国関連ArcaneDoor攻撃で悪用されたCiscoファイアウォールのゼロデイ
関連記事: 中国のサイバースパイが米国防請負業者をハッキング
翻訳元: https://www.securityweek.com/recent-fortra-goanywhere-mft-vulnerability-exploited-as-zero-day/
