CVSSスコア10.0のFortraのGoAnywhere Managed File Transfer(MFT)ツールの脆弱性が、ランサムウェア攻撃で積極的に悪用されているとMicrosoftが警告した。
同社は昨日、顧客にCVE-2025-10035のパッチ適用を促すブログ記事を公開した。これはGoAnywhere MFTのLicense Servlet Admin Consoleにおける重大なデシリアライゼーションの欠陥だ。
Microsoftは「偽造したライセンス応答署名を作成することで署名検証を回避でき、その結果、攻撃者が制御する任意のオブジェクトのデシリアライズが可能になる」と説明した。
「悪用に成功すると、コマンドインジェクションや、影響を受けるシステム上でのRCE(リモートコード実行)の可能性があります。公開レポートによれば、攻撃者が有効なライセンス応答を作成または傍受できる場合、この脆弱性の悪用に認証は不要であり、インターネットに公開されたインスタンスにとって特に危険です。」
また、悪用後には、脅威アクターがシステムおよびユーザーの探索を行い、長期的なアクセスを維持し、ラテラルムーブメントやマルウェアのために他のツールを展開できると付け加えた。
GoAnywhereの詳細: 重大なFortra GoAnywhereのバグのエクスプロイトコードが公開
この脆弱性は開発元のFortraにより9月18日に修正されたが、当初はその1週間前(9月11日)に脅威グループStorm-1175によってゼロデイとして悪用されていた。
初期アクセス後、同グループは正規のリモート監視・管理(RMM)ツールであるSimpleHelpとMeshAgentのバイナリを起動し、ネットワーク探索にnetscanのようなツールを使用し、Microsoft Remote Desktop Connectionクライアント(「mstsc.exe」)を用いてラテラルムーブメントを行った。
レポートは「コマンド&コントロール(C2)では、脅威アクターはRMMツールを利用してインフラを構築し、さらに安全なC2通信のためにCloudflareトンネルまで設定した」と続けている。
「情報流出の段階では、少なくとも1つの被害環境でRcloneの展開と実行が観測されました。最終的に、侵害されたある環境では、Medusaランサムウェアの展開に成功したことが確認されました。」
Shadowserver Foundationによると、現在513のGoAnywhereインスタンスが公開されており、その大半(363)は北米に所在している。
Medusaが再び襲来
2021年に初めて確認されたMedusaは、重要インフラ分野で世界300以上の被害者を捕捉してきた。これは、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、FBI、およびMulti-State Information Sharing and Analysis Center(MS-ISAC)が公表した3月の共同勧告による。
2025年の最初の2か月だけで40以上の被害者を主張しており、その中には米国の医療機関に対する攻撃が確認されたケースも含まれる。
ランサムウェア・アズ・ア・サービス(RaaS)型の亜種を使用するアフィリエイトは、通常、フィッシングキャンペーン、または未修正のソフトウェア脆弱性の悪用によって初期アクセスを獲得する。過去のキャンペーンでは、ScreenConnectの認証バイパス(CVE-2024-1709)やFortinet EMSのSQLインジェクション欠陥(CVE-2023-48788)を使用していた。
Microsoftは GoAnywhereの顧客に対し、次の対応を促した:
- Fortraの推奨に沿ってソフトウェアを最新バージョンにアップグレードする
- エンタープライズ向けアタックサーフェス管理製品を使用して、ネットワーク境界上の未修正システムを発見する
- 境界ファイアウォールとプロキシを確認し、閲覧やダウンロードなど任意の接続のためにサーバーがインターネットへアクセスできないようにする
- 侵害後に検出された悪性アーティファクトを修復するため、エンドポイント検知・対応(EDR)ツールをブロックモードで実行する
- 企業向けアンチウイルス製品でブロックモードを有効にする
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-critical-goanywhere/
