Inicio

Ataque a Fortra GoAnywhere MFT (CVE-2025-10035)

Recursos afectados:

La vulnerabilidad afecta a las instancias del software de Transferencia Gestionada de Archivos (MFT) Fortra GoAnywhere MFT, que están desplegadas para facilitar la transferencia de archivos a través de redes. La exposición de estas instancias a redes no confiables o externas es el principal factor de riesgo, ya que el exploit permite la inyección de comandos y la Ejecución Remota de Código (RCE) sin autenticación, conduciendo al compromiso completo del sistema, la exfiltración de datos, la instalación de backdoors y, potencialmente, la entrega de ransomware.

Detalle:

Se ha confirmado la explotación activa en el medio silvestre de una vulnerabilidad crítica de deserialización en el componente License Servlet de GoAnywhere MFT. La falla, identificada como CVE-2025-10035 y con una puntuación CVSS de 10.0 (Crítica), permite a un atacante con una firma de respuesta de licencia falsificada deserializar objetos arbitrarios. Esta técnica es explotada activamente por el grupo Storm-1175 (asociado a las operaciones de ransomware Medusa), que se especializa en atacar aplicaciones expuestas a internet para obtener acceso inicial.

Descripción:

El ataque se centra en el License Servlet de GoAnywhere MFT. Al explotar esta vulnerabilidad de deserialización, los atacantes logran la inyección de comandos y la consecuente Ejecución Remota de Código (RCE) en el sistema subyacente. Una vez que el atacante obtiene RCE, puede pivotar dentro de la red, realizando las siguientes actividades maliciosas:

  • Instalar malware o backdoors.

  • Recolectar credenciales (harvest credentials).

  • Moverse lateralmente a otros sistemas.

  • Exfiltrar datos.

  • Desplegar cargas útiles de ransomware (como Medusa).

FortiGuard ha registrado intentos de explotación de alto volumen y sostenidos contra instancias de GoAnywhere MFT.

Solución:

La corrección inmediata es obligatoria debido a la naturaleza crítica de la vulnerabilidad y su explotación activa:

  1. Aplicación de Parches: Aplicar inmediatamente el parche de seguridad proporcionado por Fortra para solucionar CVE-2025-10035.

  2. Mitigación Temporal: Si el parche no se puede aplicar de inmediato, se deben implementar controles compensatorios para restringir el acceso al servicio MFT desde redes no confiables.

  3. Monitoreo: Las organizaciones con despliegues de GoAnywhere MFT sin parches deben realizar una investigación de amenazas para detectar cualquier actividad maliciosa o compromiso potencial (como la instalación de backdoors o la exfiltración de datos).

 

Preguntada on 19/11/2025 en N1-CRITICA.
Agregar Comentario
Cancel
0 Respuesta(s)

Tu Respuesta

Al publicar tu respuesta, confirmas estar de acuerdo con las políticas de privacidad y términos de servicio.