Основы Интернет - технологий.

Эксперты предупреждают, что хакеры активно эксплуатируют критическую уязвимость CVE-2025-10035 в GoAnywhere MFT компании Fortra, раскрытую ранее в этом месяце. Ошибка позволяет удаленно выполнять команды без аутентификации. GoAnywhere MFT — это инструмент для передачи файлов, разработанный с целью помочь организациям безопасно обмениваться файлами с партнерами и вести журналы аудита того, кто получил доступ к общим файлам. За его созданием стоит компания Fortra (ранее известная как HelpSystems), также разрабатывающая известный и широко используемый инструмент Cobalt Strike, предназначенный для пентестеров и red team, и ориентированный на эксплуатацию и постэксплуатацию. Разработчики Fortra сообщили о проблеме CVE-2025-10035 18 сентября 2025 года. Как и кем именно был обнаружен этот баг, не раскрывается. Также неясно, было ли известно компании о его эксплуатации. CVE-2025-10035 (10 баллов из 10 возможных по шкале CVSS) представляет собой ошибку десериализации в компоненте License Servlet (обработчик лицензий) GoAnywhere MFT. Проблема позволяет внедрять команды при наличии у злоумышленника валидного ответа лицензии с корректной подписью. Для устранения проблемы были выпущены GoAnywhere MFT 7.8.4 и Sustain Release 7.6.3. Администраторам, которые не могут немедленно установить обновления, рекомендовалось защитить уязвимые системы, обеспечив невозможность доступа к консоли администратора GoAnywhere через интернет. Как теперь сообщают исследователи из компании WatchTowr Labs, они обнаружили убедительные доказательства того, что проблема CVE-2025-10035 использовалась хакерами как уязвимость нулевого дня с 10 сентября 2025 года. То есть за восемь дней до публикации бюллетеня безопасности производителя. Специалисты пишут, что атакующие: добивались удаленного выполнения команд без авторизации, через эксплуатацию уязвимости десериализации; создавали скрытый административный бэкдор-аккаунт с именем admin-go; через этот аккаунт заводили веб-пользователя с «легитимным» доступом; загружали и запускали несколько дополнительных пейлоадов. Среди опубликованных исследователями индикаторов компрометации числятся такие пейлоады, как zato_be.exe и jwunst.exe. Последний является легитимным двоичным файлом продукта удаленного доступа SimpleHelp. В данном случае он использовался для установления постоянного контроля над взломанными хостами. Также отмечается, что злоумышленники выполняли команду whoami/groups, которая отображает данные текущей учетной записи пользователя и членства в группах Windows, а результат сохраняли в файле test.txt для последующей эксфильтрации. Это позволяло проверить привилегии скомпрометированной учетной записи и изучить возможности бокового перемещения. Интересно, что при этом специалисты компании Rapid7 полагают, что CVE-2025-10035 — это не просто одна уязвимость десериализации, а скорее цепочка багов, состоящая из трех отдельных проблем: обхода контроля доступа, известного с 2023 года; уязвимости десериализации CVE-2025-10035; пока неизвестной проблемы, связанной с тем, что злоумышленники имеют возможность узнать конкретный закрытый ключ. Аналитики WatchTowr и Rapid7 подчеркивают, что им не удалось найти закрытый ключ serverkey1, необходимый для подделки подписи ответа лицензии, которая нужна для успешной эксплуатации CVE-2025-10035. Обе компании отмечают, что эксплуатация уязвимости возможна лишь в случае утечки приватного ключа, который должен попасть в руки злоумышленников; в случае если злоумышленники обманом вынудят сервер лицензий подписать вредоносную подпись; или если атакующие получили доступ к serverkey1 неизвестным способом.