HackerNews 编译,转载请注明出处:
黑客正积极利用 Fortra 公司 GoAnywhere MFT(托管文件传输)软件中的一个最高严重级别漏洞(CVE-2025-10035)。该漏洞允许攻击者在无需身份验证的情况下远程注入命令。
供应商(Fortra)于 9 月 18 日披露了此漏洞,但该公司在一周前就已知晓相关情况,且未透露该漏洞的发现方式,也未说明其是否已被用于攻击活动。
CVE-2025-10035 是 GoAnywhere 托管文件传输软件 “许可证服务端程序(License Servlet)” 中存在的反序列化漏洞。“持有伪造有效许可证响应签名的攻击者” 可利用该漏洞注入命令。
尽管 Fortra 的安全公告尚未更新,未纳入该漏洞已被用于攻击活动的相关信息,但安全研究机构 WatchTowr Labs 表示,他们已获得 “可靠证据”,证明 Fortra GoAnywhere 的 CVE-2025-10035 漏洞正被作为零日漏洞(指未被供应商修复就已被利用的漏洞)利用。
WatchTowr 的报告中写道:“我们已获得可靠证据,证明早在 2025 年 9 月 10 日,就有人在实际攻击中利用 Fortra GoAnywhere 的 CVE-2025-10035 漏洞。”
研究人员指出:“这比 Fortra 于 2025 年 9 月 18 日发布公开公告的时间早了 8 天。”
“这也解释了为何 Fortra 后来决定发布有限的入侵指标(IOCs),目前我们强烈建议防御人员立即改变对(漏洞相关)时间线和风险的认知。”
WatchTowr 证实,其分析的数据中包含与漏洞利用及后门账户创建相关的堆栈跟踪信息,具体攻击行为包括:
- 利用该未授权反序列化漏洞实现远程命令执行;创建名为 “admin-go” 的后门管理员账户;通过该账户创建网络用户,以获取 “合法” 访问权限;上传并执行多个二级有效载荷(恶意代码)。
从 WatchTowr 在报告末尾公布的入侵指标可知,相关有效载荷的文件名为 “zato_be.exe” 和 “jwunst.exe”。
其中,“jwunst.exe” 本是远程访问工具 SimpleHelp 的合法二进制文件,但在此次攻击中,攻击者滥用该文件对已攻陷的终端实现持久化手动控制。
研究人员还指出,攻击者执行了 “whoami/groups” 命令(该命令可显示当前用户账户及所属的 Windows 用户组),并将执行结果保存到文本文件 “test.txt” 中,以便后续窃取该文件。
通过这种操作,威胁攻击者能够确认被攻陷账户的权限,并寻找在已入侵环境中横向移动(即从一个受感染设备扩散到其他设备)的机会。
已观测到的漏洞利用痕迹
CVE-2025-10035 漏洞已观测到的利用痕迹来源:WatchTowr Labs
BleepingComputer(科技媒体)已联系 Fortra,请求其就 WatchTowr 的发现发表评论,但截至目前尚未收到回复。
鉴于 CVE-2025-10035 漏洞正被积极利用,建议尚未采取应对措施的系统管理员将 GoAnywhere MFT 升级至修复版本,可选择最新版本 7.8.4 或长期支持版本(Sustain Release)7.6.3。
其中一项缓解措施(指在无法立即修复时降低风险的临时手段)是移除 GoAnywhere 管理控制台(GoAnywhere Admin Console)的公网访问权限。
Fortra 还建议管理员检查日志文件,查看是否存在包含 “SignedObject.getObject” 字符串的错误信息,以此判断自身的 GoAnywhere 实例是否已受到影响。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
