Эксперты предупреждают, что хакеры активно эксплуатируют критическую уязвимость CVE-2025-10035 в GoAnywhere MFT компании Fortra, раскрытую ранее в этом месяце. Ошибка позволяет удаленно выполнять команды без аутентификации.
GoAnywhere MFT — это инструмент для передачи файлов, разработанный с целью помочь организациям безопасно обмениваться файлами с партнерами и вести журналы аудита того, кто получил доступ к общим файлам. За его созданием стоит компания Fortra (ранее известная как HelpSystems), также разрабатывающая известный и широко используемый инструмент Cobalt Strike, предназначенный для пентестеров и red team, и ориентированный на эксплуатацию и постэксплуатацию.
Разработчики Fortra сообщили о проблеме CVE-2025-10035 18 сентября 2025 года. Как и кем именно был обнаружен этот баг, не раскрывается. Также неясно, было ли известно компании о его эксплуатации.
CVE-2025-10035 (10 баллов из 10 возможных по шкале CVSS) представляет собой ошибку десериализации в компоненте License Servlet (обработчик лицензий) GoAnywhere MFT. Проблема позволяет внедрять команды при наличии у злоумышленника валидного ответа лицензии с корректной подписью.
Для устранения проблемы были выпущены GoAnywhere MFT 7.8.4 и Sustain Release 7.6.3. Администраторам, которые не могут немедленно установить обновления, рекомендовалось защитить уязвимые системы, обеспечив невозможность доступа к консоли администратора GoAnywhere через интернет.
Как теперь сообщают исследователи из компании WatchTowr Labs, они обнаружили убедительные доказательства того, что проблема CVE-2025-10035 использовалась хакерами как уязвимость нулевого дня с 10 сентября 2025 года. То есть за восемь дней до публикации бюллетеня безопасности производителя.
Специалисты пишут, что атакующие:
- добивались удаленного выполнения команд без авторизации, через эксплуатацию уязвимости десериализации;
- создавали скрытый административный бэкдор-аккаунт с именем admin-go;
- через этот аккаунт заводили веб-пользователя с «легитимным» доступом;
- загружали и запускали несколько дополнительных пейлоадов.
Среди опубликованных исследователями индикаторов компрометации числятся такие пейлоады, как zato_be.exe и jwunst.exe. Последний является легитимным двоичным файлом продукта удаленного доступа SimpleHelp. В данном случае он использовался для установления постоянного контроля над взломанными хостами.
Также отмечается, что злоумышленники выполняли команду whoami/groups, которая отображает данные текущей учетной записи пользователя и членства в группах Windows, а результат сохраняли в файле test.txt для последующей эксфильтрации. Это позволяло проверить привилегии скомпрометированной учетной записи и изучить возможности бокового перемещения.
Интересно, что при этом специалисты компании Rapid7 полагают, что CVE-2025-10035 — это не просто одна уязвимость десериализации, а скорее цепочка багов, состоящая из трех отдельных проблем:
- обхода контроля доступа, известного с 2023 года;
- уязвимости десериализации CVE-2025-10035;
- пока неизвестной проблемы, связанной с тем, что злоумышленники имеют возможность узнать конкретный закрытый ключ.
Аналитики WatchTowr и Rapid7 подчеркивают, что им не удалось найти закрытый ключ serverkey1, необходимый для подделки подписи ответа лицензии, которая нужна для успешной эксплуатации CVE-2025-10035.
Обе компании отмечают, что эксплуатация уязвимости возможна лишь в случае утечки приватного ключа, который должен попасть в руки злоумышленников; в случае если злоумышленники обманом вынудят сервер лицензий подписать вредоносную подпись; или если атакующие получили доступ к serverkey1 неизвестным способом.
