Подкатили подробности эксплуатации недавней 0-day Fortra GoAnywhere MFT, которая задействовалась в атаках еще за восемь дней до выхода исправлений для создания бэкдор-учетной записи администратора.

Fortra устранила CVE-2025-10035 (CVSS 10/10), 18 сентября, не упомянув о ее реальной эксплуатации, но предоставив IoC, которые должны были помочь организациям выявлять потенциальные атаки.

Ошибка описывается как уязвимость десериализации в сервлете лицензии приложения безопасной передачи файлов, которая может позволить злоумышленнику с поддельной подписью ответа лицензии десериализовать созданный объект и осуществить инъекцию команд.

Как отмечает Fortra, клиентам необходимо убедиться, что доступ к консоли администратора GoAnywhere закрыт для всех. Эксплуатация этой уязвимости в значительной степени зависит от наличия внешнего доступа к интернету на системах.

По данным watchTowr, Fortra опоздала на восемь дней с выпуском исправлений для CVE-2025-10035, поскольку эта уязвимость уже эксплуатировалась как ноль на момент ее обнаружения 11 сентября.

В распоряжении исследователей оказались достоверные доказательства эксплуатации уязвимости Fortra GoAnywhere CVE-2025-10035 в реальных условиях, начиная с 10 сентября 2025 года.

В ходе наблюдаемых атак хакеры использовали RCE-уязвимость без аутентификации, чтобы создать скрытую учетную запись администратора на уязвимых экземплярах.

Затем они задействовали учетную запись для создания веб-пользователя, который предоставлял им доступ к сервису MFT, и использовали его для загрузки и выполнения различных дополнительных полезных нагрузок.

В техническом анализе CVE watchTowr отметила, что из Интернета доступно более 20 000 экземпляров GoAnywhere MFT, включая развертывания, относящиеся к компаниям из списка Fortune 500.

В свою очередь, Rapid7 также провела собственный углубленный анализ ошибки, пояснив, что это не простая проблема десериализации, а цепочка из трех отдельных ошибок.

Сюда входит обход контроля доступа, известный с 2023 года, небезопасная уязвимость десериализации CVE-2025-10035 и пока неизвестная проблема, связанная с тем, как злоумышленники могут узнать конкретный закрытый ключ.

Компания сообщила об обходе контроля доступа в феврале 2023 года, когда Fortra исправила ошибку удаленного выполнения кода до аутентификации в GoAnywhere MFT, которая эксплуатировалась как ноль.

И watchTowr, и Rapid7 подчеркивают, что им не удалось найти закрытый ключ serverkey1, необходимый для подделки подписи ответа лицензии, которая требуется для успешной эксплуатации CVE-2025-10035.

Обе компании отмечают, что эксплуатация уязвимости возможна в случае попадания его в руки злоумышленников, если они обманом заставят сервер лицензий принять вредоносную подпись или если злоумышленники получат доступ к serverkey1 другим неустановленным способом.

Так что жертвы атак, по всей видимости, в скорой перспективе могут появиться на той или иной DLS.

Но будем посмотреть.