Організації по всьому світу повідомляють про активну експлуатацію критичної уразливості CVE-2025-10035 у GoAnywhere MFT від Fortra. Вразливість дає змогу виконувати команди на сервері без автентифікації та оцінена на CVSS 10.0. За спостереженнями дослідників, атаки як 0‑day почалися щонайменше за вісім днів до офіційної публікації бюлетеня безпеки.
CVE-2025-10035: що саме зламують і чому це небезпечно
GoAnywhere MFT — корпоративна платформа для захищеного обміну файлами і централізованого аудиту доступу. Уразливість пов’язана з помилкою десеріалізації у компоненті License Servlet. За наявності коректно підписаного відповіді ліцензії зловмисник може інжектувати та виконати довільні команди на сервері, минаючи автентифікацію. Простими словами, порушується ланцюжок довіри до ліцензійного механізму, що відкриває шлях до повного компрометування вузла.
Компанія Fortra повідомила про проблему 18 вересня 2025 року та випустила оновлення: GoAnywhere MFT 7.8.4 і Sustain Release 7.6.3. Попри доступні патчі, ризик для неоновлених інсталяцій залишається максимальним.
0‑day таймлайн та індикатори компрометації
За даними WatchTowr Labs, є «переконливі докази», що експлуатація як 0‑day розпочалася з 10 вересня 2025 року, тобто за вісім днів до публікації бюлетеня. Серед виявлених IoC фігурують пейлоади zato_be.exe і jwunst.exe. Останній — легітимний бінар інструменту віддаленого доступу SimpleHelp, який застосовувався для закріплення у системі (persistence).
Післяексплуатаційні дії: розвідка прав і підготовка до латерального руху
Зловмисники виконували команду whoami/groups для визначення рівня привілеїв та членств у доменних групах. Вивід зберігали до test.txt з метою подальшої ексфільтрації. Така розвідка допомагає оцінити потенціал бокового переміщення у мережі та обрати подальші цілі.
Ланцюжок багів і роль ключа підпису serverkey1
Експерти Rapid7 припускають, що експлуатація спирається не на одиничну помилку, а на ланцюжок з кількох уразливостей (щонайменше трьох), які разом забезпечують виконання коду. І WatchTowr, і Rapid7 підкреслюють, що не змогли отримати приватний ключ serverkey1, необхідний для формування валідного підпису ліцензійної відповіді.
Розглядаються три можливі сценарії: витік приватного ключа, примусове підписання шкідливої відповіді легітимним сервером ліцензування або невідомий спосіб доступу до ключа. Невизначеність із походженням ключа ускладнює атрибуцію та висуває підвищені вимоги до захисту інфраструктури ліцензування.
Оновлення, тимчасові обхідні заходи та практичні дії
Fortra закрила уразливість у версіях 7.8.4 та Sustain 7.6.3. Якщо миттєве оновлення неможливе, першочергово заблокуйте публічний доступ до адмін-консолі GoAnywhere MFT і мінімізуйте мережеву експозицію сервісу.
Рекомендовані кроки реагування:
1) Перевірити наявність артефактів zato_be.exe, jwunst.exe і файла test.txt на серверах MFT. 2) Проаналізувати журнали на виконання команд і нетипові вихідні з’єднання. 3) Сегментувати мережу та обмежити права сервісних облікових записів. 4) Посилити контроль вихідного трафіку, застосувати EDR/IDS для виявлення команд і механізмів persistence. 5) Провести інвентаризацію секретів, пов’язаних із ліцензуванням, їх ротацію та моніторинг звернень до сервера ліцензій.
Оскільки вектор атаки тримається на підписаних ліцензіях, критично підсилити процеси керування ключами: захищене зберігання приватних ключів, контроль доступу до інфраструктури ліцензування та оперативне реагування на будь-які аномалії у валідації.
Критичність CVE-2025-10035, підтверджена 0‑day експлуатація та високі ставки для ланцюжка довіри роблять оновлення до 7.8.4 або 7.6.3 Sustain беззаперечним пріоритетом. Паралельно посильте моніторинг на наявність наведених індикаторів, перевірте зовнішню доступність GoAnywhere MFT і перегляньте політики управління ключами. Регулярне відстеження бюлетенів Fortra і звітів дослідницьких команд допоможе зменшити вікно атаки та швидше адаптувати захист до нових технік.
