- GoAnywhere MFTのCVE-2025-10035がランサムウェアグループStorm-1175に悪用されている
- この脆弱性により、認証されていないリモートコード実行が可能に。少なくとも1件でMedusaランサムウェアが展開された
- パッチは9月18日にリリース。500件以上のインスタンスが依然として公開されており、即時のアップグレードまたは緩和策が求められる
マイクロソフトは、最近発見されたGoAnywhere Managed File Transfer(MFT)の最大深刻度の脆弱性が、ランサムウェアグループによって悪用されていると警告しています。
Fortraは最近、GoAnywhere MFTのLicense Servletにおけるデシリアライズ脆弱性を発見し、修正したと発表しました。このツールは企業が安全にファイルを送受信するのに役立ちます。
この脆弱性(CVE-2025-10035)は、最大深刻度スコア(10/10 – クリティカル)を与えられており、正規に偽造されたライセンス応答署名を持つ攻撃者が任意のオブジェクトをデシリアライズでき、「コマンドインジェクションにつながる可能性がある」とされています。
Storm-1175
その後まもなく、セキュリティ研究者のWatchTowr Labsは、このバグが9月10日にはゼロデイとして利用されていたという「信頼できる証拠」を発見したと報告しました。しかし当時は、誰が、どのような目的で、どの企業に対してこのバグを使用していたのかは特定されていませんでした。
現在、マイクロソフトは新たなレポートを発表し、Storm-1175として追跡している脅威アクターが関与していると指摘しています。
「Microsoft Defenderの研究者は、Storm-1175に帰属される戦術、技術、手順(TTPs)に沿った複数の組織での悪用活動を確認しました」とマイクロソフトはレポートで述べています。「関連する活動は2025年9月11日に観測されました。」
また、マイクロソフトは、このグループが脆弱性を利用して標的にMedusaランサムウェアを感染させたとも述べています。
「最終的に、1つの侵害された環境でMedusaランサムウェアの展開が成功したことが確認されました」と結論づけています。
この脆弱性のパッチは9月18日にリリースされましたが、すべてがすでに修正されているとは考えにくい状況です。Shadowserver Foundationによると、現在も500件以上のGoAnywhere MFTインスタンスがオンラインで公開されているものの、そのうちいくつがパッチ適用済みかは不明です。
攻撃から身を守る最善の方法は、パッチが適用されたバージョン、すなわち最新リリース(7.8.4)またはSustain Release 7.6.3にアップグレードすることです。
現時点でパッチを適用できない場合は、管理コンソールからGoAnywhereをパブリックインターネットから切り離すことができます。また、標的にされた可能性がある場合は、ログファイル内に「SignedObject.getObject,」という文字列を含むエラーがないか確認してください。
