Профессионалы в области разведки угроз предчувствуют, что на прошлой неделе Forta раскрыла уязвимость максимальной степени серьезности в своем сервисе передачи файлов GoAnywhere MFT, и готовятся к активному использованию и признакам компрометации.
Компания Forta не заявляла об активной эксплуатации уязвимости и не ответила на вопросы CyberScoop по этому поводу. Однако исследователи watchTowr заявили, что получили убедительные доказательства активной эксплуатации уязвимости ещё с 10 сентября.
Разногласия между вендором и исследовательской компанией выявляют трудноразрешимую проблему в сфере раскрытия и управления уязвимостями. Когда дефекты оказываются более серьёзными и активно эксплуатируемыми, чем первоначально сообщали вендоры, это создаёт ненужные сложности для специалистов по безопасности и пострадавших пользователей.
Компания Forta не ответила на вопросы о последних результатах расследования watchTowr и не прокомментировала их. Forta утверждает, что обнаружила уязвимость или её потенциальное влияние во время «проверки безопасности» 11 сентября, но не включила эти подробности в уведомление.
Поставщик решений для кибербезопасности ранее обновил свои рекомендации по безопасности для уязвимости десериализации ( CVE-2025-10035 ), добавив подробности, которые озадачили некоторых исследователей своей неясностью. Forta добавила индикаторы компрометации и трассировки стека, которые, если присутствуют в файлах журналов клиентов, указывают на то, что «их экземпляр, вероятно, был затронут этой уязвимостью», заявила компания.
Бен Харрис, основатель и генеральный директор watchTowr, дискредитировал некоторые публичные заявления Форты об уязвимости, поскольку он и его команда исследователей подтвердили подозрения, которые у них были относительно атак, связанных с уязвимостью, когда она была впервые раскрыта.
«Какой бардак», — сказал он CyberScoop. «Им нужно было просто быть честными и открытыми — а вместо этого они превратили это в скандал».
Опасения охотников за угрозами относительно уязвимости усилились, когда Forta обновила свои рекомендации, предоставив клиентам возможность отслеживать определенные строки в своих файлах журналов.
Добавление IOC к рекомендациям Forta «вызывает у нас логическое беспокойство, поскольку это убедительно свидетельствует о том, что злоумышленники, возможно, уже действуют», — заявил Харрис, прежде чем подтвердить факт эксплуатации уязвимости. Информация, добавленная в раздел «Затронут ли я уязвимость?», «подразумевает, что это не просто гипотетический риск», — добавил Харрис.
Исследователи Rapid7 и VulnCheck пришли к аналогичным выводам, отметив, что поставщики редко публикуют IOC для новых критических уязвимостей, эксплуатация которых не подтверждена.
«Хотя IOC не подтверждают факт эксплуатации уязвимости в реальных условиях, они настоятельно предполагают, что поставщик считает, что эта уязвимость будет эксплуатирована, если это еще не было сделано», — заявил Стивен Фьюэр, старший научный сотрудник Rapid7.
Закрытый ключ, недостающее звено
Исследователи уязвимостей раскрыли дополнительные подробности о шагах, которые необходимо предпринять злоумышленникам для эксплуатации уязвимости, включая необъяснимый доступ к определенному закрытому ключу.
«Чтобы успешно выполнить удалённый код, злоумышленник должен отправить подписанный объект Java на целевой сервер GoAnywhere MFT. Целевой сервер использует открытый ключ для проверки подписанного объекта, и, если подпись действительна, может быть использована уязвимость десериализации, что позволит выполнить произвольный код», — сказал Фьюэр.
«Недостающая деталь заключается в том, как злоумышленник может этого добиться, если требуемый закрытый ключ отсутствует в кодовой базе GoAnywhere MFT», — добавил он.
Этот ключ, его местонахождение и то, как злоумышленник может получить к нему доступ, держат исследователей в напряжении, что заставляет некоторых предполагать, что закрытый ключ мог быть украден или иным образом украден с облачного сервера лицензий GoAnywhere, который предназначен для легитимации подписанных объектов.
У исследователей нет закрытого ключа, и без него им не удалось создать работающий эксплойт.
«Злоумышленники в целом действуют по обстоятельствам, — сказала Кейтлин Кондон, вице-президент по исследованиям безопасности в VulnCheck. — Для них довольно сложно каким-то образом получить доступ к закрытым ключам».
Киберпреступники уже получали доступ к закрытым ключам, как это было продемонстрировано в начале этого месяца, когда злоумышленник воспользовался уязвимостью нулевого дня в Sitecore , используя образцы ключей, скопированные и вставленные клиентами из документации поставщика.
Ключ стал первопричиной крупной шпионской атаки на Microsoft Exchange Online, связанной с Китаем, в 2023 году, в результате которой были раскрыты электронные письма высокопоставленных чиновников правительства США и других лиц. Microsoft так и не смогла точно определить, как группа угроз, отслеживаемая ею как Storm-0558, получила этот ключ, а федеральная комиссия позже раскритиковала компанию за « цепочку сбоев в системе безопасности » в уничтожающем отчёте об атаке и её масштабных последствиях.
Проверенная ответственность поставщика
Эксперты утверждают, что поставщики обязаны предоставлять своим клиентам своевременную и полезную информацию, которая может защитить их от атак, включая явное признание фактов активной эксплуатации.
«Это обеспечивает ясность и спокойствие для защитников, которые хотят эффективнее расставлять приоритеты в условиях сложных угроз, вместо того, чтобы заставлять их строить предположения или полагаться на сторонние исследования для получения ответов на вопросы, на которые поставщик может ответить лучше всего», — сказала Кейтлин Кондон, вице-президент по исследованиям в области безопасности в VulnCheck.
«Самый простой способ узнать, была ли эксплуатирована данная уязвимость или любая другая уязвимость, — это если поставщик открыто сообщит, известно ли ему о подтвержденной вредоносной активности в среде клиента», — сказала она.
Кондон добавила, что максимальный уровень серьёзности, присвоенный уязвимости CVE-2025-10035, — это показательный сигнал. «Необычно, когда поставщик присваивает максимальный уровень 10 баллов по шкале CVSS, если он не проверил информацию об уязвимости и не подтвердил, как злоумышленник проведёт успешную атаку», — сказала она.
Компания Forta уже сталкивалась с подобным. Два года назад её клиенты уже подвергались атаке широко эксплуатируемой уязвимости нулевого дня в том же сервисе передачи файлов. Описание Fortra уязвимости CVE-2025-10035 поразительно похоже на CVE-2023-0669 — уязвимость, эксплуатируемую Clop, что привело к атакам на более чем 100 организаций и как минимум на пять других группировок, занимающихся программами-вымогателями.
Харрис раскритиковал Fortra за нежелание делиться важной информацией.
«Как организация, подписавшая обязательство CISA «Безопасность по проектированию», которое включает формулировку о прозрачности эксплуатации уязвимостей в реальных условиях, ситуация выглядит довольно разочаровывающей», — сказал он.
Харрис добавил, что предприятия, специалисты по безопасности и защитники полагаются на точные данные для определения степени риска и принятия соответствующих мер.
«Когда отсутствует прозрачность, эти же команды остаются в неведении и не имеют достаточной информации для принятия решений о рисках», — сказал он. «Учитывая контекст используемого решения и организации, которые его используют, нельзя недооценивать влияние дополнительного времени пребывания злоумышленника в некоторых из этих сред».
Компания Forta не заявляла об активной эксплуатации уязвимости и не ответила на вопросы CyberScoop по этому поводу. Однако исследователи watchTowr заявили, что получили убедительные доказательства активной эксплуатации уязвимости ещё с 10 сентября.
Разногласия между вендором и исследовательской компанией выявляют трудноразрешимую проблему в сфере раскрытия и управления уязвимостями. Когда дефекты оказываются более серьёзными и активно эксплуатируемыми, чем первоначально сообщали вендоры, это создаёт ненужные сложности для специалистов по безопасности и пострадавших пользователей.
Компания Forta не ответила на вопросы о последних результатах расследования watchTowr и не прокомментировала их. Forta утверждает, что обнаружила уязвимость или её потенциальное влияние во время «проверки безопасности» 11 сентября, но не включила эти подробности в уведомление.
Поставщик решений для кибербезопасности ранее обновил свои рекомендации по безопасности для уязвимости десериализации ( CVE-2025-10035 ), добавив подробности, которые озадачили некоторых исследователей своей неясностью. Forta добавила индикаторы компрометации и трассировки стека, которые, если присутствуют в файлах журналов клиентов, указывают на то, что «их экземпляр, вероятно, был затронут этой уязвимостью», заявила компания.
Бен Харрис, основатель и генеральный директор watchTowr, дискредитировал некоторые публичные заявления Форты об уязвимости, поскольку он и его команда исследователей подтвердили подозрения, которые у них были относительно атак, связанных с уязвимостью, когда она была впервые раскрыта.
«Какой бардак», — сказал он CyberScoop. «Им нужно было просто быть честными и открытыми — а вместо этого они превратили это в скандал».
Опасения охотников за угрозами относительно уязвимости усилились, когда Forta обновила свои рекомендации, предоставив клиентам возможность отслеживать определенные строки в своих файлах журналов.
Добавление IOC к рекомендациям Forta «вызывает у нас логическое беспокойство, поскольку это убедительно свидетельствует о том, что злоумышленники, возможно, уже действуют», — заявил Харрис, прежде чем подтвердить факт эксплуатации уязвимости. Информация, добавленная в раздел «Затронут ли я уязвимость?», «подразумевает, что это не просто гипотетический риск», — добавил Харрис.
Исследователи Rapid7 и VulnCheck пришли к аналогичным выводам, отметив, что поставщики редко публикуют IOC для новых критических уязвимостей, эксплуатация которых не подтверждена.
«Хотя IOC не подтверждают факт эксплуатации уязвимости в реальных условиях, они настоятельно предполагают, что поставщик считает, что эта уязвимость будет эксплуатирована, если это еще не было сделано», — заявил Стивен Фьюэр, старший научный сотрудник Rapid7.
Закрытый ключ, недостающее звено
Исследователи уязвимостей раскрыли дополнительные подробности о шагах, которые необходимо предпринять злоумышленникам для эксплуатации уязвимости, включая необъяснимый доступ к определенному закрытому ключу.
«Чтобы успешно выполнить удалённый код, злоумышленник должен отправить подписанный объект Java на целевой сервер GoAnywhere MFT. Целевой сервер использует открытый ключ для проверки подписанного объекта, и, если подпись действительна, может быть использована уязвимость десериализации, что позволит выполнить произвольный код», — сказал Фьюэр.
«Недостающая деталь заключается в том, как злоумышленник может этого добиться, если требуемый закрытый ключ отсутствует в кодовой базе GoAnywhere MFT», — добавил он.
Этот ключ, его местонахождение и то, как злоумышленник может получить к нему доступ, держат исследователей в напряжении, что заставляет некоторых предполагать, что закрытый ключ мог быть украден или иным образом украден с облачного сервера лицензий GoAnywhere, который предназначен для легитимации подписанных объектов.
У исследователей нет закрытого ключа, и без него им не удалось создать работающий эксплойт.
«Злоумышленники в целом действуют по обстоятельствам, — сказала Кейтлин Кондон, вице-президент по исследованиям безопасности в VulnCheck. — Для них довольно сложно каким-то образом получить доступ к закрытым ключам».
Киберпреступники уже получали доступ к закрытым ключам, как это было продемонстрировано в начале этого месяца, когда злоумышленник воспользовался уязвимостью нулевого дня в Sitecore , используя образцы ключей, скопированные и вставленные клиентами из документации поставщика.
Ключ стал первопричиной крупной шпионской атаки на Microsoft Exchange Online, связанной с Китаем, в 2023 году, в результате которой были раскрыты электронные письма высокопоставленных чиновников правительства США и других лиц. Microsoft так и не смогла точно определить, как группа угроз, отслеживаемая ею как Storm-0558, получила этот ключ, а федеральная комиссия позже раскритиковала компанию за « цепочку сбоев в системе безопасности » в уничтожающем отчёте об атаке и её масштабных последствиях.
Проверенная ответственность поставщика
Эксперты утверждают, что поставщики обязаны предоставлять своим клиентам своевременную и полезную информацию, которая может защитить их от атак, включая явное признание фактов активной эксплуатации.
«Это обеспечивает ясность и спокойствие для защитников, которые хотят эффективнее расставлять приоритеты в условиях сложных угроз, вместо того, чтобы заставлять их строить предположения или полагаться на сторонние исследования для получения ответов на вопросы, на которые поставщик может ответить лучше всего», — сказала Кейтлин Кондон, вице-президент по исследованиям в области безопасности в VulnCheck.
«Самый простой способ узнать, была ли эксплуатирована данная уязвимость или любая другая уязвимость, — это если поставщик открыто сообщит, известно ли ему о подтвержденной вредоносной активности в среде клиента», — сказала она.
Кондон добавила, что максимальный уровень серьёзности, присвоенный уязвимости CVE-2025-10035, — это показательный сигнал. «Необычно, когда поставщик присваивает максимальный уровень 10 баллов по шкале CVSS, если он не проверил информацию об уязвимости и не подтвердил, как злоумышленник проведёт успешную атаку», — сказала она.
Компания Forta уже сталкивалась с подобным. Два года назад её клиенты уже подвергались атаке широко эксплуатируемой уязвимости нулевого дня в том же сервисе передачи файлов. Описание Fortra уязвимости CVE-2025-10035 поразительно похоже на CVE-2023-0669 — уязвимость, эксплуатируемую Clop, что привело к атакам на более чем 100 организаций и как минимум на пять других группировок, занимающихся программами-вымогателями.
Харрис раскритиковал Fortra за нежелание делиться важной информацией.
«Как организация, подписавшая обязательство CISA «Безопасность по проектированию», которое включает формулировку о прозрачности эксплуатации уязвимостей в реальных условиях, ситуация выглядит довольно разочаровывающей», — сказал он.
Харрис добавил, что предприятия, специалисты по безопасности и защитники полагаются на точные данные для определения степени риска и принятия соответствующих мер.
«Когда отсутствует прозрачность, эти же команды остаются в неведении и не имеют достаточной информации для принятия решений о рисках», — сказал он. «Учитывая контекст используемого решения и организации, которые его используют, нельзя недооценивать влияние дополнительного времени пребывания злоумышленника в некоторых из этих сред».
