Angreifer nutzen derzeit eine kritische Schwachstelle CVE-2025-10035 in GoAnywhere MFT von Fortra aktiv aus. Der Fehler ermöglicht nicht authentifizierte Befehlsausführung auf dem Server und wurde nachweislich bereits als 0‑day vor der Veröffentlichung des Sicherheitsbulletins missbraucht. Fortra hat Updates bereitgestellt, dennoch bleibt das Risiko für ungepatchte Installationen hoch.
CVE-2025-10035: Kontext, Ursache und Schweregrad
GoAnywhere MFT ist eine Enterprise-Plattform für sicheren Dateiaustausch und Audit. Der Hersteller Fortra (ehemals HelpSystems) ist unter anderem durch Cobalt Strike bekannt. Die Schwachstelle CVE-2025-10035 trägt einen CVSS‑Score von 10.0 (maximal) und beruht auf einem Deserialisierungsfehler im License Servlet. Mit einem korrekt signierten Lizenz‑Response lässt sich so die Ausführung beliebiger Systemkommandos erreichen.
Fortra veröffentlichte den Hinweis am 18. September 2025 und stellt Patches in GoAnywhere MFT 7.8.4 sowie Sustain Release 7.6.3 bereit. Angaben zur Erstentdeckung und zu etwaigen vorab bekannten Angriffen machte der Anbieter nicht.
Nachweis der 0‑Day-Nutzung: Zeitleiste und Indikatoren
Forscher von WatchTowr Labs berichten von „überzeugenden Belegen“, dass die Ausnutzung bereits ab dem 10. September 2025 stattfand – acht Tage vor der öffentlichen Offenlegung. Als Indicators of Compromise (IOC) wurden unter anderem die Payloads zato_be.exe und jwunst.exe identifiziert. Letztere ist ein legitimer SimpleHelp-Remote-Access-Binary, das hier zur Persistenz missbraucht wurde.
Im Post-Exploitation‑Stadium führten Angreifer den Befehl whoami/groups aus, um Privilegien und Gruppenmitgliedschaften zu ermitteln, und schrieben die Ausgabe in test.txt zur späteren Exfiltration. Diese Taktik dient der Einschätzung von Lateral Movement und der Priorisierung nachfolgender Maßnahmen.
Angriffskette, Signaturprüfung und der Schlüssel „serverkey1“
Analysen von Rapid7 deuten darauf hin, dass nicht nur ein einzelner Bug, sondern eine Bug‑Kette (mindestens drei Schwachstellen) die erfolgreiche Ausnutzung ermöglicht. Ein zentraler Aspekt ist die Signaturprüfung der Lizenzantworten: Sowohl WatchTowr als auch Rapid7 konnten den privaten Schlüssel serverkey1 nicht erlangen, der für eine gültige Signatur erforderlich ist.
Als realistische Szenarien kommen in Betracht: Leckage des privaten Schlüssels, eine erzwungene Signatur manipulierter Antworten durch einen legitimen Lizenzserver oder ein bisher unbekannter Zugriffspfad auf den Schlüssel. Diese Unsicherheit erschwert die Attribution und erhöht die Anforderungen an die Sicherheit der Lizenz‑Infrastruktur samt Schlüsselmanagement.
Abwehrmaßnahmen: Patchen, Härtung und Detektion
Vorrangig ist das Update auf GoAnywhere MFT 7.8.4 bzw. Sustain 7.6.3. Wo ein sofortiges Patchen nicht möglich ist, sollte der öffentliche Zugriff auf die Admin‑Konsole unterbunden und die Netzwerkexposition minimiert werden (z. B. Reverse Proxy, IP‑Allowlists, VPN‑Zwang).
Ergänzend empfiehlt sich: Artefakte wie zato_be.exe, jwunst.exe und test.txt prüfen; System‑ und Web‑Logs auf ungewöhnliche Command‑Execution und verdächtige Verbindungen analysieren; Netzwerk segmentieren, Rechte von Servicekonten minimieren; Egress‑Kontrollen stärken; EDR/IDS einsetzen, um Befehlsausführung und Persistenz zu erkennen; Secrets der Lizenzierung inventarisieren und rotieren; Zugriffe auf den Lizenzserver eng überwachen.
Da der Exploit auf signierte Lizenzantworten abzielt, ist die Vertrauenskette besonders kritisch: sichere Aufbewahrung privater Schlüssel (HSM/Hardware‑Backed), strenge Zugriffskontrollen, Vier‑Augen‑Prinzip und sofortige Reaktion auf Anomalien in der Lizenzvalidierung.
Die bestätigte 0‑Day‑Ausnutzung und die Einstufung CVSS 10.0 machen das Patchen auf 7.8.4 bzw. 7.6.3 Sustain zur obersten Priorität. Reduzieren Sie die Angriffsfläche, härten Sie das Schlüsselmanagement und prüfen Sie Ihre Umgebung gezielt auf die genannten IOCs. Kontinuierliches Monitoring der Fortra‑Advisories sowie der Analysen von WatchTowr und Rapid7 hilft, das Zeitfenster für Angreifer zu verkleinern und auf neue TTPs schneller zu reagieren.
