GoAnywhere MFTは、ファイル転送の機能を提供する製品です。
システム間、従業員間、また取引先や顧客とのセキュアなファイル転送を実現でき、またそのログも管理できるWebベースの製品です。
過去にゼロデイ脆弱性があったことがあり、これは安全ではないデシリアライゼーションに起因するもので、攻撃者による認証バイパス・リモートコード実行を可能にするものでした。
また類似する問題があることがわかりました。
- CVE-2025-10035
これは認証バイパス・リモートコード実行を可能としてしまう脆弱性です。
CVE-2025-10035 は、GoAnywhere 管理ファイル転送ソフトウェアの License Servlet におけるデシリアライゼーションの脆弱性であり、「有効に偽造されたライセンス応答署名を持つ攻撃者」がコマンドを挿入するために悪用される可能性があります。
そして脆弱性の修正の情報が出るよりも数日前にはすでに実際の悪用例があったことが確認されました。
そうです、これもゼロデイ脆弱性でした。
確認されている侵害発生の流れは例えば次のようなものです。
- 認証前のデシリアライゼーション脆弱性を悪用してリモートコマンド実行を実現する
- admin-goというバックドア管理者アカウントを作成する
- 作成したアカウントを使用して「正当な」アクセスを可能にするWebユーザを作成する
- 複数のセカンダリペイロードをアップロードして実行する
送り込まれるペイロードの中にはリモートアクセス製品も含まれます。
これを設置することで攻撃者は侵害環境を継続的に直接制御することができる状態にすることができます。
すでに問題は広がっている状況ですが、自分の関連する組織や仕組みでこのGoAnywhere MFTがある場合は、動作しているバージョンをすぐに確認したほうが良いです。
そして対策後バージョン(7.8.4以降、7.6.3以降)であることを確認しましょう。
It Is Bad (Exploitation of Fortra GoAnywhere MFT CVE-2025-10035) – Part 2
https://labs.watchtowr.com/it-is-bad-exploitation-of-fortra-goanywhere-mft-cve-2025-10035-part-2/
| この記事をシェア |
|
|---|
表紙.png)