Actores de amenazas están explotando activamente la vulnerabilidad crítica CVE-2025-10035 en GoAnywhere MFT de Fortra, permitiendo ejecución remota de comandos sin autenticación. Investigadores han documentado compromisos como 0‑day al menos ocho días antes del aviso público del fabricante. Aunque existen parches, el riesgo para instalaciones expuestas o desactualizadas permanece elevado.
CVE-2025-10035: deserialización en License Servlet y severidad crítica
GoAnywhere MFT es una plataforma corporativa para transferencia gestionada de archivos y auditoría. La falla CVE-2025-10035 está calificada con CVSS 10.0 y se origina en un error de deserialización del componente License Servlet. Si el atacante cuenta con una respuesta de licencia válidamente firmada, puede inyectar y ejecutar comandos arbitrarios en el servidor afectado.
Fortra comunicó el problema el 18 de septiembre de 2025 y publicó correcciones en GoAnywhere MFT 7.8.4 y Sustain Release 7.6.3. No se ha divulgado el origen del hallazgo ni si la compañía tenía constancia de ataques previos al boletín.
Explotación 0‑day: línea temporal e indicadores de compromiso
De acuerdo con WatchTowr Labs, existen “pruebas convincentes” de explotación desde el 10 de septiembre de 2025, ocho días antes del aviso de seguridad. Entre los indicadores de compromiso (IoC) detectados destacan los payloads zato_be.exe y jwunst.exe. Este último es un binario legítimo del software de acceso remoto SimpleHelp utilizado para persistencia tras la intrusión.
En fase de reconocimiento poscompromiso, los atacantes ejecutaron whoami/groups para inventariar privilegios y pertenencia a grupos, volcando la salida en test.txt con fines de exfiltración. Esta táctica les permite estimar el potencial de movimiento lateral y priorizar objetivos dentro de la red.
Cadena de fallos y el papel del secreto de firma serverkey1
Según Rapid7, la explotación no dependería de un único bug, sino de una cadena de vulnerabilidades —al menos tres— que, combinadas, posibilitan el ataque. Tanto Rapid7 como WatchTowr señalan que no lograron acceder a la clave privada serverkey1, necesaria para firmar de forma válida la respuesta de licencia.
Se barajan tres hipótesis técnicas para explicar la firma: filtración de la clave privada, firma forzada del artefacto por el servidor de licencias legítimo o algún mecanismo desconocido de obtención/abuso de la clave. La falta de detalles públicos complica la atribución y subraya la necesidad de reforzar la infraestructura de licenciamiento y gestión de claves.
Mitigación prioritaria: parches, reducción de superficie e higiene de seguridad
La actualización a GoAnywhere MFT 7.8.4 o Sustain 7.6.3 debe considerarse prioritaria. Para quienes no puedan parchear de inmediato, se recomiendan controles compensatorios para reducir la exposición y mejorar la detección temprana.
- Restringir el acceso público a la consola de administración y limitar la publicación de GoAnywhere MFT a redes de confianza.
- Buscar IoC: presencia de zato_be.exe, jwunst.exe y archivos test.txt en hosts relacionados.
- Revisar registros de ejecución de comandos y conexiones inusuales; activar alertas de EDR/IDS para patrones de persistencia.
- Segregar redes y minimizar privilegios de cuentas de servicio asociadas al flujo de archivos y a la consola.
- Controlar el tráfico saliente y aplicar listas de denegación para impedir C2 y descargas de binarios sospechosos.
- Inventariar, rotar y custodiar secretos vinculados al licenciamiento; monitorizar las solicitudes al servidor de licencias.
Dada la dependencia del vector en respuestas de licencia firmadas, es esencial blindar la cadena de confianza: almacenamiento seguro de claves privadas, controles de acceso estrictos y telemetría que alerte sobre anomalías en la validación de licencias. Mantenerse al día con los boletines de Fortra y los informes de equipos como WatchTowr y Rapid7 ayudará a acortar la ventana de exposición y adaptar detecciones a nuevas técnicas.
