Fortra corrige CVE-2025-10035, una falla de deserialización de CVSS 10.0 en GoAnywhere Managed File Transfer (MFT),para bloquear la inyección remota de comandos.
Actualización 27/09: atacantes están explotando activamente esta vulnerabilidad que permite inyectar comandos de forma remota sin autenticación.
Fortra ha revelado detalles de una falla de seguridad crítica en el software GoAnywhere Managed File Transfer (MFT) que podría provocar la ejecución de comandos arbitrarios.
La vulnerabilidad, identificada como CVE-2025-10035, tiene una puntuación CVSS de 10.0, lo que indica la máxima gravedad. "Una vulnerabilidad de deserialización en el Servlet de Licencia de GoAnywhere MFT de Fortra permite a un actor con una firma de respuesta de licencia falsificada deserializar un objeto arbitrario controlado por el actor, lo que podría provocar la inyección de comandos", declaró Fortra en un aviso.
La compañía también señaló que la explotación exitosa de la vulnerabilidad depende de que el sistema sea accesible públicamente a través de Internet.
Se recomienda a los usuarios actualizar a la versión parcheada (7.8.4 o la versión 7.6.3) para protegerse contra posibles amenazas. Si no es posible aplicar el parche de inmediato, es recomendable asegurarse de que el acceso a la Consola de Administración de GoAnywhere no sea público. Fortra no menciona que la falla se esté explotando in-situ. Sin embargo, vulnerabilidades previamente descubiertas en el mismo producto (CVE-2023-0669, CVSS: 7,2) fueron utilizadas como Zero-Day por actores de ransomware para robar datos confidenciales.
A principios del año pasado, abordó otra vulnerabilidad crítica en GoAnywhere MFT (CVE-2024-0204, CVSS: 9,8) que podría haber sido explotada para crear nuevos usuarios administradores.
"La vulnerabilidad recientemente descubierta en la solución GoAnywhere MFT de Fortra afecta a la misma ruta del código de licencia en la Consola de Administración que la vulnerabilidad anterior CVE-2023-0669, que fue ampliamente explotada por múltiples grupos de ransomware y APT en 2023, incluyendo LockBit", declaró Ryan Dewhurst, jefe de inteligencia proactiva de amenazas en watchTowr.
Con miles de instancias de GoAnywhere MFT expuestas a Internet, es casi seguro que este problema se aprovechará pronto para su explotación in situ. Si bien Fortra señala que la explotación requiere exposición externa, estos sistemas suelen estar diseñados para estar conectados a Internet, por lo que las organizaciones deben asumir que son vulnerables. Las organizaciones deben aplicar los parches oficiales de inmediato y tomar medidas para restringir el acceso externo a la Consola de Administración.
Fortra recomienda que los administradores inspeccionen los archivos de registro en busca de errores que contengan la cadena 'SignedObject.getObject' para determinar si una instancia se ha visto afectada.
Fuente: THN