Microsoft potwierdza wykorzystanie zero-day CVE-2025-10035 w GoAnywhere MFT przez hakerów z max oceną zagrożenia 10.0

Współczesne przedsiębiorstwa polegają na bezpiecznej wymianie danych, używając do tego specjalistycznych narzędzi. Niestety, oprogramowanie do zarządzanego transferu plików (MFT) coraz częściej staje się celem cyberprzestępców. Odkrycie w nim luki typu zero-day, czyli takiej, na którą nie ma jeszcze oficjalnej poprawki, może prowadzić do katastrofalnych skutków. Atakujący zyskują w ten sposób cenną przewagę, mogąc infiltrować sieci i kraść wrażliwe dane.

Krytyczna luka CVE-2025-10035 w GoAnywhere MFT umożliwia hakerom przejęcie serwerów. CISA ostrzega, a Microsoft potwierdza aktywne ataki.

Katastrofa w chmurze rządowej Korei Południowej. Pożar zniszczył serwery i jedyną kopię zapasową danych w centrum NIRS Daegu

Microsoft Threat Intelligence potwierdziło aktywne wykorzystanie krytycznej podatności CVE-2025-10035 w oprogramowaniu Fortra GoAnywhere Managed File Transfer przez grupę cyberprzestępców Storm-1175. Luka otrzymała maksymalną ocenę zagrożenia 10.0 w skali CVSS i umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Hakerzy wykorzystują ją do rozsiewania ransomware Medusa, szyfrując dane organizacji na całym świecie. Podatność dotyczy mechanizmu walidacji licencji w License Servlet i pozwala napastnikom na sfałszowanie złośliwej odpowiedzi licencyjnej. W rezultacie system wykonuje nieautoryzowane polecenia systemowe, co może prowadzić do przejęcia pełnej kontroli nad infrastrukturą IT. Problem wynika z nieprawidłowej deserializacji danych wejściowych, gdzie aplikacja ślepo przetwarza serializowane informacje bez ich walidacji.

Mistrzostwa Świata w Piłce Nożnej 2026 na celowniku hakerów. Zagrożenia obejmują fałszywe bilety, streaming i towary

Pierwsza aktywność wykorzystania tej luki została wykryta 11 września 2025 roku, co oznacza że hakerzy mieli dostęp do zero-day przez tydzień przed ujawnieniem podatności, które nastąpiło 18 września. Fortra wydało poprawki w wersjach GoAnywhere MFT 7.8.4 oraz Sustain Release 7.6.3, jednak wiele organizacji pozostaje narażonych na ataki. Cybersecurity and Infrastructure Security Agency dodał CVE-2025-10035 do katalogu Known Exploited Vulnerabilities 29 września. Storm-1175 to chińska grupa cyberprzestępcza, która znana jest z używania ransomware Medusa oraz z atakowania publicznie dostępnych aplikacji. Po udanym wykorzystaniu luki napastnicy instalują narzędzia zdalnego monitorowania SimpleHelp i MeshAgent dla utrzymania dostępu. Następnie tworzą pliki JSP w katalogach GoAnywhere MFT i wykonują komendy rozpoznawcze sieci. Do komunikacji używają tuneli Cloudflare, a narzędzie Rclone służy im do wykradania danych przed zaszyfrowaniem ich przez ransomware Medusa.

Miliony routerów i switchy Cisco zagrożonych przez aktywnie wykorzystywaną lukę zero-day CVE-2025-20352 w protokole SNMP

Eksperci podkreślają tajemniczość tej podatności ze względu na wymaganie klucza prywatnego do jej wykorzystania. Analitycy Rapid7 i watchTowr Labs spekulują, że Fortra mogło przypadkowo udostępnić klucz prywatny lub został on skradziony przez cyberprzestępców. Najbardziej prawdopodobny scenariusz to kompromitacja systemów Fortra, w tym zdalnych serwerów licencyjnych, co dałoby napastnikom dostęp do wymaganego klucza prywatnego. Podobnie jak w przypadku wcześniejszych ataków na oprogramowanie do transferu plików, takie jak MOVEit w 2023 roku czy kampania Clop wykorzystująca CVE-2023-0669 w GoAnywhere, obecne ataki uderzają w krytyczną infrastrukturę przedsiębiorstw. GoAnywhere MFT jest wykorzystywane do bezpiecznego transferu wrażliwych danych finansowych, kadrowych i dokumentów prawnych, co sprawia, że jest atrakcyjnym celem dla grup ransomware. Storm-1175 kontynuuje wykorzystywanie aplikacji MFT w swoich atakach. Tego typu systemy stały się dla hakerów atrakcyjnym celem, ponieważ zapewniają dostęp do cennych danych firmowych.