Source: https://thehackernews.com/2025/09/fortra-releases-critical-patch-for-cvss.html
🛡 概要
Fortraが提供するGoAnywhere Managed File Transfer (MFT)ソフトウェアにおいて、深刻なセキュリティ脆弱性が発覚しました。この脆弱性はCVE-2025-10035として追跡されており、CVSSスコアは10.0と、最大の深刻度を示しています。この問題は、正当なライセンス応答署名を持つ攻撃者が任意のオブジェクトをデシリアライズできることに起因し、最終的にはコマンドインジェクションにつながる可能性があります。Fortraは、脆弱性の悪用にはシステムがインターネット越しに公開されている必要があると警告しています。
🔍 技術詳細
この脆弱性は、GoAnywhere MFTのライセンスサーブレットに存在するデシリアライズの脆弱性に関連しています。攻撃者は、偽造されたライセンス応答を用いて、任意のオブジェクトをデシリアライズすることができ、これによりシステム上で任意のコマンドを実行できる可能性があります。Fortraは、これまでにCVE-2023-0669(CVSS 7.2)やCVE-2024-0204(CVSS 9.8)といった脆弱性も報告しており、これらは過去にランサムウェア攻撃者によって利用されました。特にCVE-2023-0669は、LockBitなどのAPTグループによって広く悪用されたことが確認されています。
⚠ 影響
この脆弱性の影響を受けると、攻撃者は不正にシステムにアクセスし、機密データを盗み出したり、システムを完全に掌握したりする可能性があります。Fortraによると、GoAnywhere MFTのインスタンスが数千台インターネットに公開されているため、攻撃者がこの脆弱性を悪用するリスクが非常に高いとされています。特に、管理コンソールへのアクセスが公開されている場合、さらに危険度が増します。組織はこの脆弱性を深刻に受け止め、迅速な対応が求められます。
🛠 対策
Fortraは、GoAnywhere MFTの脆弱性に対するパッチをリリースしました。ユーザーは、バージョン7.8.4または持続リリース7.6.3にアップデートすることで、脅威から身を守ることができます。もし即時のパッチ適用が難しい場合は、GoAnywhere管理コンソールへの外部アクセスを制限することが推奨されます。この脆弱性は、外部からのアクセスが必要ですが、GoAnywhere MFTは一般的にインターネットに接続されているため、組織は自社のシステムが脆弱であると考えるべきです。公式のパッチを迅速に適用し、外部アクセスの制限を行うことが重要です。
