Компания Fortra в своем самом решительном на сегодняшний день признании подтвердила, что обнаруженный ею дефект максимальной серьезности в GoAnywhere MFT активно использовался при атаках, однако исследователи по-прежнему требуют от поставщика более откровенно рассказать, как злоумышленники получили закрытый ключ, необходимый для эксплуатации уязвимости.
В четверг компания опубликовала отчёт о расследовании CVE-2025-10035 , спустя три недели после того, как впервые публично устранила уязвимость в своём сервисе передачи файлов. «На данный момент у нас есть ограниченное количество сообщений о несанкционированной активности, связанной с CVE-2025-10035 », — заявила компания.
«Положительно, что Fortra повышает прозрачность в отношении саги CVE-2025-10035», — заявил Бен Харрис, основатель и генеральный директор watchTowr, в интервью CyberScoop. «Однако загадка остаётся — исследователи watchTowr и другие до сих пор не понимают, как можно эксплуатировать эту уязвимость без доступа к закрытому ключу, который, как считается, есть только у Fortra».
Исследователи watchTowr, Rapid7 и VulnCheck в прошлом месяце забили тревогу по поводу закрытого ключа после того, как они независимо друг от друга подтвердили шаги, которые необходимо предпринять злоумышленникам для его эксплуатации.
«Тот факт, что Fortra теперь решила подтвердить «несанкционированную активность, связанную с CVE-2025-10035», в очередной раз подтверждает, что уязвимость не была теоретической, и что злоумышленник каким-то образом обошел или выполнил криптографические требования, необходимые для эксплуатации этой уязвимости», — сказал Харрис.
Масштабы взлома продолжали расти в течение последнего месяца, поскольку Fortra и исследователи продолжают искать доказательства активной эксплуатации уязвимости. Fortra также поделилась подробностями о сроках и действиях, предпринятых за кулисами до публичного раскрытия информации об уязвимости и её устранения.
Сотрудники службы безопасности компании Fortra начали расследование потенциальной уязвимости после того, как 11 сентября один из клиентов сообщил о подозрительной активности. После проверки журналов клиентов компания начала уведомлять потенциально пострадавших клиентов и в тот же день сообщила о вредоносной активности в правоохранительные органы.
Поставщик также сообщил, что обнаружил три случая в своей облачной среде GoAnywhere MFT «с потенциально подозрительной активностью, связанной с уязвимостью». Fortra заявила, что изолировала эти случаи для дальнейшего расследования и оповестила клиентов, использующих эти управляемые сервисы, о потенциальном риске.
Компания развернула исправление в облачных сервисах, которые она размещает для клиентов, 17 сентября, но не сообщила, в какой степени уязвимость эксплуатировалась в локальных клиентских средах и сервисах, размещенных на платформе Fortra. Поставщик сообщил, что обновил все экземпляры GoAnywhere MFT, размещенные в компании, включая перестроенную инфраструктуру.
Fortra не ответила на вопросы, заданные CyberScoop в понедельник.
Агентство по кибербезопасности и безопасности инфраструктуры добавило уязвимость CVE-2025-10035 в свой каталог известных эксплуатируемых уязвимостей 29 сентября, отметив, что эта уязвимость использовалась в кампаниях с использованием программ-вымогателей. На прошлой неделе агентство Microsoft Threat Intelligence прокомментировало эту ситуацию, отметив, что группа киберпреступников, отслеживаемая как Storm-1175, использовала уязвимость CVE-2025-10035 для запуска многоэтапных атак, включая атаки с использованием программ-вымогателей.
Компания Fortra неоднократно отказывалась подтвердить, что ей известно об активной эксплуатации уязвимости после этих сообщений. Ранее компания добавила индикаторы взлома в свои рекомендации по безопасности, но не сообщала о наличии у неё информации о несанкционированной активности, связанной с этим дефектом, до четверга.
В четверг компания опубликовала отчёт о расследовании CVE-2025-10035 , спустя три недели после того, как впервые публично устранила уязвимость в своём сервисе передачи файлов. «На данный момент у нас есть ограниченное количество сообщений о несанкционированной активности, связанной с CVE-2025-10035 », — заявила компания.
«Положительно, что Fortra повышает прозрачность в отношении саги CVE-2025-10035», — заявил Бен Харрис, основатель и генеральный директор watchTowr, в интервью CyberScoop. «Однако загадка остаётся — исследователи watchTowr и другие до сих пор не понимают, как можно эксплуатировать эту уязвимость без доступа к закрытому ключу, который, как считается, есть только у Fortra».
Исследователи watchTowr, Rapid7 и VulnCheck в прошлом месяце забили тревогу по поводу закрытого ключа после того, как они независимо друг от друга подтвердили шаги, которые необходимо предпринять злоумышленникам для его эксплуатации.
«Тот факт, что Fortra теперь решила подтвердить «несанкционированную активность, связанную с CVE-2025-10035», в очередной раз подтверждает, что уязвимость не была теоретической, и что злоумышленник каким-то образом обошел или выполнил криптографические требования, необходимые для эксплуатации этой уязвимости», — сказал Харрис.
Масштабы взлома продолжали расти в течение последнего месяца, поскольку Fortra и исследователи продолжают искать доказательства активной эксплуатации уязвимости. Fortra также поделилась подробностями о сроках и действиях, предпринятых за кулисами до публичного раскрытия информации об уязвимости и её устранения.
Сотрудники службы безопасности компании Fortra начали расследование потенциальной уязвимости после того, как 11 сентября один из клиентов сообщил о подозрительной активности. После проверки журналов клиентов компания начала уведомлять потенциально пострадавших клиентов и в тот же день сообщила о вредоносной активности в правоохранительные органы.
Поставщик также сообщил, что обнаружил три случая в своей облачной среде GoAnywhere MFT «с потенциально подозрительной активностью, связанной с уязвимостью». Fortra заявила, что изолировала эти случаи для дальнейшего расследования и оповестила клиентов, использующих эти управляемые сервисы, о потенциальном риске.
Компания развернула исправление в облачных сервисах, которые она размещает для клиентов, 17 сентября, но не сообщила, в какой степени уязвимость эксплуатировалась в локальных клиентских средах и сервисах, размещенных на платформе Fortra. Поставщик сообщил, что обновил все экземпляры GoAnywhere MFT, размещенные в компании, включая перестроенную инфраструктуру.
Fortra не ответила на вопросы, заданные CyberScoop в понедельник.
Агентство по кибербезопасности и безопасности инфраструктуры добавило уязвимость CVE-2025-10035 в свой каталог известных эксплуатируемых уязвимостей 29 сентября, отметив, что эта уязвимость использовалась в кампаниях с использованием программ-вымогателей. На прошлой неделе агентство Microsoft Threat Intelligence прокомментировало эту ситуацию, отметив, что группа киберпреступников, отслеживаемая как Storm-1175, использовала уязвимость CVE-2025-10035 для запуска многоэтапных атак, включая атаки с использованием программ-вымогателей.
Компания Fortra неоднократно отказывалась подтвердить, что ей известно об активной эксплуатации уязвимости после этих сообщений. Ранее компания добавила индикаторы взлома в свои рекомендации по безопасности, но не сообщала о наличии у неё информации о несанкционированной активности, связанной с этим дефектом, до четверга.
