- CVE-2025-10035はGoAnywhere MFTにおける重大なデシリアライズの脆弱性です
- Fortraはユーザーに即時のパッチ適用を強く推奨、現時点で実際の悪用は確認されていません
- システムがインターネットに公開されている場合、コマンドインジェクションが可能になる恐れがあります
FortraのGoAnywhere MFTにおいて重大度の高い脆弱性が最近発見され、ユーザーにはできるだけ早く修正プログラムを適用するよう強く求められています。
GoAnywhere MFTは、企業が安全にファイルを送受信できるようにするツールであり、転送中のデータ保護やファイル共有の自動化、クラウドおよびオンプレミスシステムの両方に対応しています。
2023年初頭、Cl0pランサムウェアグループがこのツールのゼロデイ脆弱性を発見し、130社以上を攻撃し、プロクター・アンド・ギャンブルや日立エナジーなどの大手企業も被害に遭いました。Fortraは迅速にパッチをリリースしましたが、多くの企業がすぐに更新しなかったため、Cl0pは個人情報や企業情報などの機密データを盗み出し、それを使って被害者から金銭を脅し取ることができました。
ソフトウェアのアップグレード
今回は現時点で実際の悪用は報告されていませんが、Fortraは「セキュリティチェック中にバグを発見した」と述べています。
この脆弱性は、FortraのGoAnywhere MFTのLicense Servletにおけるデシリアライズの脆弱性と説明されており、正規に偽造されたライセンス応答署名を持つ攻撃者が任意のオブジェクトをデシリアライズでき、「コマンドインジェクションにつながる可能性がある」とされています。
このバグは現在CVE-2025-10035として追跡されており、重大度スコアは10/10(クリティカル)です。GoAnywhere MFT 7.8.4およびSustain Release 7.6.3で修正されており、ユーザーはできるだけ早く最新バージョンにアップグレードすることが推奨されています。
「この脆弱性の悪用は、システムが外部からインターネットに公開されているかどうかに大きく依存します」とFortraは強調しています。
また、脆弱性の修正に加えて、GoAnywhere MFTのユーザーは管理者監査ログで不審な活動がないか監視し、SignedObject.getObjectを含むエラーがログファイルに記録されていないか確認することも推奨されています。「この文字列が例外スタックトレース(下記のようなもの)に含まれている場合、そのインスタンスは本脆弱性の影響を受けている可能性があります。」
詳細情報やIoC(インジケーター・オブ・コンプロマイズ)はこちらのリンクで確認できます。
