Исследователи предупредили, что уязвимость максимальной степени серьезности, затрагивающая GoAnywhere MFT, имеет поразительное сходство с широко эксплуатируемым дефектом в том же сервисе передачи файлов два года назад.
Компания Fortra, поставщик решений для кибербезопасности, стоящая за этим продуктом, в четверг раскрыла информацию и выпустила исправление для уязвимости CVE-2025-10035 . Уязвимость десериализации «позволяет субъекту с действительно подделанной подписью ответа лицензии десериализовать произвольный объект, контролируемый субъектом, что может привести к внедрению команд», — говорится в бюллетене безопасности компании .
Сервисы передачи файлов представляют собой ценную цель для злоумышленников, поскольку хранят большой объём конфиденциальных данных. Используя эти сервисы, киберпреступники могут быстро получить доступ к информации многих пользователей одновременно, что делает их особенно привлекательными для масштабных атак.
Fortra не предоставила никаких доказательств активной эксплуатации уязвимостей, а исследователи из нескольких компаний, занимающихся безопасностью, заявили, что не наблюдали подобных случаев, но ожидают, что ситуация скоро изменится. «Мы считаем, что это лишь вопрос времени, и внимательно следим за ситуацией», — написал в электронном письме Райан Дьюхерст, руководитель отдела проактивной разведки угроз в watchTowr.
Уязвимость, имеющая рейтинг CVSS 10, «практически идентична описанию для CVE-2023-0669 », уязвимости нулевого дня, эксплуатируемой Clop, что привело к атакам на более чем 100 организаций и по меньшей мере пять других группировок программ-вымогателей, сообщила в своем блоге Кейтлин Кондон, вице-президент по исследованиям безопасности в VulnCheck .
Clop, высокооперабельная, финансово мотивированная группа, занимающаяся разработкой программ-вымогателей, специализируется на эксплуатации уязвимостей в сервисах передачи файлов. В 2023 году эта группа добилась массового проникновения в среды MOVEit , в результате чего были раскрыты данные более 2300 организаций, что сделало эту кибератаку самой масштабной и значимой в том году.
«По умолчанию сервисы передачи файлов обрабатывают и хранят конфиденциальные файлы», — сказал Дьюхерст. «Они являются основной целью для злоумышленников, особенно группировок, занимающихся вирусами-вымогателями, которые могут использовать эти файлы для шантажа».
Стивен Фьюэр, старший научный сотрудник Rapid7, отметил, что службы передачи файлов часто выходят в Интернет с сетевыми учетными данными, поддерживающими доступ к данным, их хранение и поток, — факторы, которые создают особо ценную цель для злоумышленников.
По словам Фьюэра, новый дефект не требует аутентификации, а уязвимости десериализации, как правило, более надежны, чем другие ошибки, включая ошибки повреждения памяти.
Исследователям неизвестен общедоступный код эксплойта, подтверждающий концепцию, однако он может существовать в частном порядке. «Как всегда, если уязвимость была эксплуатирована в реальных условиях как уязвимость нулевого дня — что было неясно на момент публикации, — одних лишь исправлений будет недостаточно, чтобы полностью устранить злоумышленников из скомпрометированных систем», — сказал Кондон.
Компания Fortra сообщила CyberScoop, что обнаружила уязвимость во время проверки безопасности 11 сентября. «Мы определили, что клиенты GoAnywhere, у которых есть консоль администратора, доступная через Интернет, могут быть уязвимы для несанкционированного воздействия третьих лиц», — сообщила в электронном письме Джессика Райан, менеджер по связям с общественностью компании Fortra.
«Мы немедленно разработали исправление и предложили клиентам рекомендации по устранению проблемы», — добавила она.
По данным Fortra, управляемая служба передачи файлов — один из трех продуктов GoAnywhere, которым пользуются более 3000 организаций, включая предприятия из списка Fortune 500.
Поставщик трижды упоминается в каталоге известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры , при этом все три дефекта были добавлены в течение двухмесячного периода в 2023 году
Компания Fortra, поставщик решений для кибербезопасности, стоящая за этим продуктом, в четверг раскрыла информацию и выпустила исправление для уязвимости CVE-2025-10035 . Уязвимость десериализации «позволяет субъекту с действительно подделанной подписью ответа лицензии десериализовать произвольный объект, контролируемый субъектом, что может привести к внедрению команд», — говорится в бюллетене безопасности компании .
Сервисы передачи файлов представляют собой ценную цель для злоумышленников, поскольку хранят большой объём конфиденциальных данных. Используя эти сервисы, киберпреступники могут быстро получить доступ к информации многих пользователей одновременно, что делает их особенно привлекательными для масштабных атак.
Fortra не предоставила никаких доказательств активной эксплуатации уязвимостей, а исследователи из нескольких компаний, занимающихся безопасностью, заявили, что не наблюдали подобных случаев, но ожидают, что ситуация скоро изменится. «Мы считаем, что это лишь вопрос времени, и внимательно следим за ситуацией», — написал в электронном письме Райан Дьюхерст, руководитель отдела проактивной разведки угроз в watchTowr.
Уязвимость, имеющая рейтинг CVSS 10, «практически идентична описанию для CVE-2023-0669 », уязвимости нулевого дня, эксплуатируемой Clop, что привело к атакам на более чем 100 организаций и по меньшей мере пять других группировок программ-вымогателей, сообщила в своем блоге Кейтлин Кондон, вице-президент по исследованиям безопасности в VulnCheck .
Clop, высокооперабельная, финансово мотивированная группа, занимающаяся разработкой программ-вымогателей, специализируется на эксплуатации уязвимостей в сервисах передачи файлов. В 2023 году эта группа добилась массового проникновения в среды MOVEit , в результате чего были раскрыты данные более 2300 организаций, что сделало эту кибератаку самой масштабной и значимой в том году.
«По умолчанию сервисы передачи файлов обрабатывают и хранят конфиденциальные файлы», — сказал Дьюхерст. «Они являются основной целью для злоумышленников, особенно группировок, занимающихся вирусами-вымогателями, которые могут использовать эти файлы для шантажа».
Стивен Фьюэр, старший научный сотрудник Rapid7, отметил, что службы передачи файлов часто выходят в Интернет с сетевыми учетными данными, поддерживающими доступ к данным, их хранение и поток, — факторы, которые создают особо ценную цель для злоумышленников.
По словам Фьюэра, новый дефект не требует аутентификации, а уязвимости десериализации, как правило, более надежны, чем другие ошибки, включая ошибки повреждения памяти.
Исследователям неизвестен общедоступный код эксплойта, подтверждающий концепцию, однако он может существовать в частном порядке. «Как всегда, если уязвимость была эксплуатирована в реальных условиях как уязвимость нулевого дня — что было неясно на момент публикации, — одних лишь исправлений будет недостаточно, чтобы полностью устранить злоумышленников из скомпрометированных систем», — сказал Кондон.
Компания Fortra сообщила CyberScoop, что обнаружила уязвимость во время проверки безопасности 11 сентября. «Мы определили, что клиенты GoAnywhere, у которых есть консоль администратора, доступная через Интернет, могут быть уязвимы для несанкционированного воздействия третьих лиц», — сообщила в электронном письме Джессика Райан, менеджер по связям с общественностью компании Fortra.
«Мы немедленно разработали исправление и предложили клиентам рекомендации по устранению проблемы», — добавила она.
По данным Fortra, управляемая служба передачи файлов — один из трех продуктов GoAnywhere, которым пользуются более 3000 организаций, включая предприятия из списка Fortune 500.
Поставщик трижды упоминается в каталоге известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры , при этом все три дефекта были добавлены в течение двухмесячного периода в 2023 году
