Компания Fortra выпустила экстренное обновление безопасности для своего программного обеспечения GoAnywhere Managed File Transfer (MFT). Патч устраняет критическую уязвимость, получившую идентификатор CVE-2025-10035 и максимальную оценку опасности 10.0 по шкале CVSS. Успешная эксплуатация этой уязвимости позволяет злоумышленнику удаленно выполнять произвольные команды на целевой системе.
Технически проблема классифицируется как уязвимость десериализации. Она находится в компоненте License Servlet программного обеспечения GoAnywhere MFT. Для проведения атаки злоумышленнику необходимо использовать специально созданную подпись ответа лицензии, которая позволяет десериализовать вредоносный, контролируемый им объект.
Ключевым условием для успешной эксплуатации является доступность административной консоли GoAnywhere MFT из публичного интернета. В официальном уведомлении, опубликованном в четверг, Fortra заявила, что на момент выпуска патча у компании не было данных об использовании этой уязвимости в реальных атаках.
Для устранения угрозы пользователям необходимо незамедлительно обновить программное обеспечение до исправленных версий. Fortra выпустила основную версию 7.8.4 и версию с долгосрочной поддержкой (Sustain Release) 7.6.3, в которых уязвимость полностью устранена.
В случаях, когда немедленное обновление системы невозможно, компания рекомендует применить временную меру защиты. Эта мера заключается в полном ограничении доступа к административной консоли GoAnywhere из сети интернет, что блокирует основной вектор атаки.
Райан Дьюхерст, руководитель отдела проактивной разведки угроз в компании watchTowr, в комментарии для The Hacker News подчеркнул крайнюю серьезность ситуации. Он указал, что новая уязвимость CVE-2025-10035 затрагивает тот же путь кода, связанный с лицензированием в административной консоли, что и ранее активно эксплуатировавшаяся уязвимость CVE-2023-0669.
По словам Дьюхерста, в настоящее время тысячи экземпляров GoAnywhere MFT доступны через интернет. Системы такого типа по своей сути предназначены для работы с внешними сетями, что делает большинство установок без установленного патча изначально уязвимыми для атак.
Эксперт прогнозирует, что данная проблема «почти наверняка скоро будет использована для реальных атак». Он настоятельно рекомендует организациям исходить из того, что их системы уязвимы, и немедленно применять обновления, одновременно ограничивая внешний доступ к административным интерфейсам.
Программное обеспечение GoAnywhere MFT уже не в первый раз становится целью для киберпреступников. В 2023 году уязвимость CVE-2023-0669 с оценкой 7.2 использовалась как уязвимость нулевого дня. Она активно эксплуатировалась множеством вымогательских и APT-группировок, включая известную группу LockBit, для кражи конфиденциальных данных.
Кроме того, в начале прошлого года была устранена другая критическая уязвимость, CVE-2024-0204, с оценкой опасности 9.8. Она позволяла злоумышленникам создавать новых пользователей с правами администратора в уязвимых системах, обходя механизмы аутентификации.
Изображение носит иллюстративный характер
Технически проблема классифицируется как уязвимость десериализации. Она находится в компоненте License Servlet программного обеспечения GoAnywhere MFT. Для проведения атаки злоумышленнику необходимо использовать специально созданную подпись ответа лицензии, которая позволяет десериализовать вредоносный, контролируемый им объект.
Ключевым условием для успешной эксплуатации является доступность административной консоли GoAnywhere MFT из публичного интернета. В официальном уведомлении, опубликованном в четверг, Fortra заявила, что на момент выпуска патча у компании не было данных об использовании этой уязвимости в реальных атаках.
Для устранения угрозы пользователям необходимо незамедлительно обновить программное обеспечение до исправленных версий. Fortra выпустила основную версию 7.8.4 и версию с долгосрочной поддержкой (Sustain Release) 7.6.3, в которых уязвимость полностью устранена.
В случаях, когда немедленное обновление системы невозможно, компания рекомендует применить временную меру защиты. Эта мера заключается в полном ограничении доступа к административной консоли GoAnywhere из сети интернет, что блокирует основной вектор атаки.
Райан Дьюхерст, руководитель отдела проактивной разведки угроз в компании watchTowr, в комментарии для The Hacker News подчеркнул крайнюю серьезность ситуации. Он указал, что новая уязвимость CVE-2025-10035 затрагивает тот же путь кода, связанный с лицензированием в административной консоли, что и ранее активно эксплуатировавшаяся уязвимость CVE-2023-0669.
По словам Дьюхерста, в настоящее время тысячи экземпляров GoAnywhere MFT доступны через интернет. Системы такого типа по своей сути предназначены для работы с внешними сетями, что делает большинство установок без установленного патча изначально уязвимыми для атак.
Эксперт прогнозирует, что данная проблема «почти наверняка скоро будет использована для реальных атак». Он настоятельно рекомендует организациям исходить из того, что их системы уязвимы, и немедленно применять обновления, одновременно ограничивая внешний доступ к административным интерфейсам.
Программное обеспечение GoAnywhere MFT уже не в первый раз становится целью для киберпреступников. В 2023 году уязвимость CVE-2023-0669 с оценкой 7.2 использовалась как уязвимость нулевого дня. Она активно эксплуатировалась множеством вымогательских и APT-группировок, включая известную группу LockBit, для кражи конфиденциальных данных.
Кроме того, в начале прошлого года была устранена другая критическая уязвимость, CVE-2024-0204, с оценкой опасности 9.8. Она позволяла злоумышленникам создавать новых пользователей с правами администратора в уязвимых системах, обходя механизмы аутентификации.
