ハッカーは、FortraのGoAnywhere MFTに存在する最大深刻度の脆弱性(CVE-2025-10035)を積極的に悪用しており、認証なしでリモートからコマンドを注入できるようになっています。
ベンダーは9月18日にこの脆弱性を公表しましたが、同社は1週間前にこの問題を把握しており、どのように発見されたのか、または実際に悪用されているかについては詳細を共有しませんでした。
CVE-2025-10035は、GoAnywhereの管理ファイル転送ソフトウェアのLicense Servletにおけるデシリアライズ脆弱性であり、「正規に偽造されたライセンス応答署名を持つアクター」によってコマンド注入に利用される可能性があります。
Fortraのアドバイザリには、この脆弱性が攻撃に利用されているという情報はまだ更新されていませんが、WatchTowr Labsのセキュリティ研究者は、Fortra GoAnywhere CVE-2025-10035がゼロデイとして悪用されているという「信頼できる証拠」を受け取ったと述べています。
「私たちは、Fortra GoAnywhere CVE-2025-10035が2025年9月10日までさかのぼって野生下で悪用されているという信頼できる証拠を得ました」とWatchTowrのレポートは述べています。
「これはFortraが2025年9月18日に公開アドバイザリを発表する8日前のことです」と研究者らは指摘しています。
「これが、Fortraが後に限定的なIOCを公開することを決定した理由を説明しています。私たちは今、防御側がタイムラインとリスクの考え方を直ちに変更するよう強く促しています。」
WatchTowrは、分析したデータに悪用に関連するスタックトレースとバックドアアカウント作成の痕跡が含まれていることを確認しました:
- 事前認証デシリアライズ脆弱性を悪用した後のリモートコマンド実行の達成
- admin-goというバックドア管理者アカウントの作成
- そのアカウントを使って「正規の」アクセスを可能にするWebユーザーを作成
- 複数の二次ペイロードをアップロードおよび実行
WatchTowrがレポートの末尾で公開した侵害指標によると、ペイロードの名前は「zato_be.exe」および「jwunst.exe」です。
後者はリモートアクセス製品SimpleHelpの正規バイナリです。このケースでは、侵害されたエンドポイントへの持続的な手動制御のために悪用されています。
研究者らはまた、攻撃者が「whoami/groups」コマンドを実行し、現在のユーザーアカウントとWindowsグループのメンバーシップを表示し、その出力をテキストファイル(test.txt)に保存して持ち出していたことも指摘しています。
これにより、脅威アクターは侵害されたアカウントの権限を確認し、侵害環境内での横展開の機会を探ることができます。
出典:WatchTowr
BleepingComputerはWatchTowrの調査結果についてFortraにコメントを求めましたが、まだ回答は得られていません。
CVE-2025-10035が現在進行形で悪用されていることを踏まえ、対応を取っていないシステム管理者には、パッチ適用済みバージョン(最新版の7.8.4または7.6.3[Sustain Release])へのアップグレードが推奨されます。
1つの緩和策として、GoAnywhere管理コンソールのインターネット公開を解除することが挙げられます。
Fortraはまた、管理者に対し、’SignedObject.getObject’という文字列を含むエラーがログファイルにないか確認し、インスタンスが影響を受けていないか調査することを推奨しています。
