(画像クレジット:Pixabay)
- GoAnywhere MFTのCVE-2025-10035は、ライセンスサーブレット経由で重大なコマンドインジェクションを許す
- 公開前から悪用が始まっており、WatchTowrが実際の攻撃の証拠を発見
- ユーザーはパッチ適用またはシステム隔離を推奨、過去の脆弱性ではCl0pランサムウェアによる大規模侵害も
GoAnywhere MFTは人気のあるマネージドファイル転送ソリューションですが、WatchTowr Labsのセキュリティ研究者が「信頼できる証拠」を発見したことで、現在実際に悪用されている最大深刻度の脆弱性が存在します。
GoAnywhereの開発元であるFortraは最近、新たなセキュリティアドバイザリを公開し、顧客にCVE-2025-10035のパッチ適用を強く呼びかけています。
これはライセンスサーブレットにおけるデシリアライズ脆弱性で、攻撃者がコマンドインジェクション攻撃を実行できるものです。つまり、ライセンスチェックシステムの穴を突かれ、攻撃者がGoAnywhereに自分たちのコードを実行させることが可能となります。
信頼できる証拠
この脆弱性は最大深刻度である10/10と評価されており、ユーザーがパッチを適用することが極めて重要です。それ以外の点については、アドバイザリでは攻撃者や現在の標的について多くは語られていません。
しかし、WatchTowrの研究者はこう述べています。「Fortra GoAnywhere CVE-2025-10035が2025年9月10日から実際に悪用されているという信頼できる証拠を得ました」と研究者はレポートで述べています。
「これはFortraが2025年9月18日に公開アドバイザリを発表する8日前のことです。これがFortraが限定的なIOC(侵害指標)を後に公開した理由であり、私たちは防御側に対し、タイムラインとリスクの考え方を直ちに変えるよう強く促しています。」
攻撃から身を守る最善の方法は、パッチが適用されたバージョン、すなわち最新版(7.8.4)またはSustain Release 7.6.3にアップグレードすることです。
現時点でパッチを適用できない場合は、管理コンソールからGoAnywhereをパブリックインターネットから切り離すことができます。また、標的となった疑いがある場合は、ログファイル内に「SignedObject.getObject,」という文字列を含むエラーがないか確認してください。
2023年初頭、攻撃者はGoAnywhere MFTの脆弱性を悪用し、世界中の数十の組織からデータを窃取しました。ランサムウェアグループのCl0pが犯行声明を出し、機密ファイルを公開して支払いを要求し、その年で最も深刻なサプライチェーン型侵害の一つとなりました。
