Cve-2025-10035

A Fortra divulgou os resultados de sua investigação sobre a vulnerabilidade CVE-2025-10035, uma falha crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025. A investigação foi iniciada após um cliente relatar uma ‘potencial vulnerabilidade’, levando a Fortra a identificar atividades suspeitas relacionadas à falha. A empresa notificou clientes que tinham o console administrativo do GoAnywhere acessível na internet e também alertou as autoridades policiais. Um hotfix foi disponibilizado no dia seguinte, e versões completas com o patch foram lançadas em 15 de setembro. A Fortra destacou que o risco é limitado a clientes com o console administrativo exposto, mas admitiu que há relatos de atividades não autorizadas associadas à vulnerabilidade. A CVE-2025-10035 refere-se a uma vulnerabilidade de desserialização no License Servlet, que pode resultar em injeção de comandos sem autenticação. A Microsoft informou que um grupo de ameaças, identificado como Storm-1175, está explorando essa falha para implantar ransomware Medusa. A Fortra recomenda que os usuários restrinjam o acesso ao console administrativo pela internet e mantenham o software atualizado.

A Microsoft identificou um grupo de cibercriminosos, denominado Storm-1175, como responsável pela exploração de uma vulnerabilidade crítica no software Fortra GoAnywhere, que permitiu a implantação do ransomware Medusa. A falha, classificada como CVE-2025-10035, possui um escore CVSS de 10.0 e é um bug de desserialização que pode resultar em injeção de comandos sem necessidade de autenticação. A vulnerabilidade foi corrigida nas versões 7.8.4 e 7.6.3 do software. Desde 11 de setembro de 2025, o grupo tem explorado aplicações expostas ao público para obter acesso inicial, com indícios de exploração ativa desde pelo menos 10 de setembro. A exploração bem-sucedida dessa vulnerabilidade pode permitir que os atacantes realizem descobertas de sistema e usuário, mantenham acesso a longo prazo e implantem ferramentas adicionais para movimentação lateral e malware. A cadeia de ataque inclui a instalação de ferramentas de monitoramento remoto, como SimpleHelp e MeshAgent, e a criação de arquivos .jsp nos diretórios do GoAnywhere MFT. A Microsoft também observou o uso de Rclone para exfiltração de dados em pelo menos um ambiente afetado. A situação levanta preocupações sobre a transparência da Fortra em relação à segurança de seus produtos.

O GoAnywhere MFT, uma solução popular de transferência de arquivos gerenciada, apresenta uma vulnerabilidade crítica, identificada como CVE-2025-10035, que permite a injeção de comandos através do servlet de licença. Essa falha foi classificada com a severidade máxima de 10/10 e está sendo explorada ativamente por atacantes, conforme evidências credíveis encontradas pelos pesquisadores da WatchTowr Labs. A exploração da vulnerabilidade começou antes da divulgação pública, com registros de ataques datando de 10 de setembro de 2025, oito dias antes do aviso oficial da Fortra, empresa responsável pelo GoAnywhere. Para mitigar os riscos, os usuários são aconselhados a atualizar para a versão corrigida mais recente (7.8.4) ou a versão de Sustentação (7.6.3). Aqueles que não puderem aplicar o patch devem isolar o sistema do GoAnywhere da internet pública. A falha é especialmente preocupante, pois no início de 2023, um ataque semelhante resultou no roubo de dados de várias organizações, com o grupo de ransomware Cl0p reivindicando a responsabilidade. Portanto, a urgência em aplicar as correções é crítica para evitar possíveis brechas de segurança e vazamentos de dados.

A empresa de cibersegurança watchTowr Labs revelou que uma vulnerabilidade crítica no software Fortra GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035, está sendo explorada ativamente desde 10 de setembro de 2025, uma semana antes de sua divulgação pública. Essa falha, classificada com CVSS 10.0, permite a injeção de comandos sem autenticação devido a uma vulnerabilidade de desserialização no License Servlet. A exploração envolve o envio de requisições HTTP manipuladas para interagir com o servlet exposto, possibilitando a execução remota de código (RCE). A empresa também identificou uma cadeia de três problemas, incluindo uma falha de controle de acesso conhecida desde 2023. Os atacantes têm utilizado essa vulnerabilidade para criar contas de administrador e carregar cargas adicionais maliciosas. A atividade dos atacantes foi rastreada até um IP associado a ataques de força bruta. Dada a gravidade da situação, é crucial que os usuários do Fortra GoAnywhere apliquem as correções disponíveis imediatamente.

A Fortra divulgou uma vulnerabilidade crítica no software GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035, que possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. Essa falha de deserialização no License Servlet permite que um ator malicioso, com uma assinatura de resposta de licença forjada, deserialize um objeto controlado por ele, potencialmente levando à injeção de comandos. A exploração bem-sucedida dessa vulnerabilidade depende do sistema estar acessível publicamente pela internet. A Fortra recomenda que os usuários atualizem para a versão corrigida 7.8.4 ou a Sustained Release 7.6.3 para se proteger contra ameaças potenciais. Caso a atualização imediata não seja viável, é aconselhável restringir o acesso ao GoAnywhere Admin Console. Embora a Fortra não tenha relatado exploração ativa da falha, vulnerabilidades anteriores no mesmo produto foram utilizadas por grupos de ransomware, como o LockBit, para roubar dados sensíveis. A exposição de milhares de instâncias do GoAnywhere MFT à internet torna a situação crítica, e as organizações devem aplicar os patches oficiais imediatamente e restringir o acesso externo ao console administrativo.