Хакеры активно эксплуатируют критическую уязвимость CVE-2025-10035 в GoAnywhere MFT от Fortra, которая позволяет выполнять команды на сервере без аутентификации. По данным исследователей, компрометации фиксировались как 0‑day минимум за восемь дней до официальной публикации бюллетеня безопасности. Производитель выпустил обновления, однако риск для незащищенных инсталляций остается высоким.
Что известно об уязвимости CVE-2025-10035
GoAnywhere MFT — корпоративная платформа для защищенного обмена файлами и аудита доступа. За разработкой стоит Fortra (ранее HelpSystems), известная также по инструменту Cobalt Strike. Уязвимость CVE-2025-10035 получила CVSS 10.0 и связана с ошибкой десериализации в компоненте License Servlet. Эксплуатация возможна при наличии у злоумышленника корректно подписанного ответа лицензии, что открывает путь к внедрению и выполнению произвольных команд.
Fortra сообщила о проблеме 18 сентября 2025 года. Источник обнаружения не раскрывается, равно как и сведения о том, знала ли компания о реальных атаках до публикации. Для устранения уязвимости доступны версии GoAnywhere MFT 7.8.4 и Sustain Release 7.6.3.
Эксплуатация как 0‑day: временная шкала и индикаторы
Исследователи WatchTowr Labs сообщили о «убедительных доказательствах», что уязвимость использовалась как 0‑day начиная с 10 сентября 2025 года — за восемь дней до публичного раскрытия. Среди обнаруженных индикаторов компрометации фигурируют пейлоады zato_be.exe и jwunst.exe. Второй файл является легитимным бинарником решения удаленного доступа SimpleHelp и применялся для закрепления на скомпрометированных хостах.
Тактика злоумышленников и цели постэксплуатации
Атакующие выполняли команду whoami/groups для выявления уровня привилегий и членства учетной записи в доменных группах, а вывод сохраняли в test.txt для последующей эксфильтрации. Такая проверка позволяет оценить потенциал бокового перемещения внутри сети и определить приоритеты дальнейшей атаки.
Цепочка багов и ключ подписи serverkey1
Специалисты Rapid7 предполагают, что речь идет не о единственной десериализационной ошибке, а о цепочке из нескольких уязвимостей (как минимум трех), которые совместно обеспечивают успешную эксплуатацию. При этом и WatchTowr, и Rapid7 отмечают: им не удалось получить приватный ключ serverkey1, необходимый для создания корректной подписи ответа лицензии.
По их оценке, эксплуатация возможна в трех сценариях: утечка приватного ключа, принудительная подпись вредоносного ответа легитимным сервером лицензирования либо неизвестный способ получения доступа к ключу. Отсутствие публичных сведений о происхождении ключа усложняет атрибуцию и повышает требования к защите инфраструктуры лицензирования.
Патчи, временные меры и практические рекомендации
Fortra закрыла уязвимость в релизах 7.8.4 и Sustain 7.6.3. Организациям, которые не могут немедленно обновиться, рекомендовано исключить публичный доступ к консоли администратора GoAnywhere MFT и ограничить сетевую экспозицию сервиса.
Дополнительно целесообразно:
— проверить наличие артефактов zato_be.exe, jwunst.exe и файлов test.txt;
— проанализировать журналы на события выполнения команд и необычных сетевых подключений;
— сегментировать сети и минимизировать права сервисных учетных записей;
— усилить контроль исходящего трафика и внедрить EDR/IDS для выявления команд и persistence;
— провести инвентаризацию и ротацию секретов, связанных с лицензированием, а также мониторинг обращений к серверу лицензий.
Поскольку вектор атаки опирается на подписанные лицензии, особое внимание следует уделить безопасности цепочки доверия: хранению приватных ключей, контролю доступа к инфраструктуре лицензирования и оперативному реагированию на любые аномалии в валидации лицензий.
Критичность CVE-2025-10035 и подтвержденная 0‑day-эксплуатация делают обновление до 7.8.4 или 7.6.3 Sustain приоритетом номер один. Усильте мониторинг на предмет упомянутых индикаторов компрометации, проверьте сетевую экспозицию GoAnywhere MFT и укрепите процессы управления ключами. Регулярно отслеживайте бюллетени Fortra и отчеты исследовательских команд — это поможет сократить окно атаки и быстрее реагировать на новые техники эксплуатации.
