Source: https://www.securityweek.com/fortra-patches-critical-goanywhere-mft-vulnerability/
🛡 概要
Fortraは、GoAnywhereの安全なファイル転送ソフトウェアにおける深刻な脆弱性に対するパッチをリリースしました。この脆弱性は、コマンドインジェクションに悪用される可能性があります。GoAnywhere MFTは、企業が取引先とのデータ交換を自動化し、安全に行うためのアプリケーションです。この脆弱性はCVE-2025-10035として追跡されており、CVSSスコアは10に設定されています。
🔍 技術詳細
この脆弱性は、アプリケーションのライセンスサーブレットに影響を与える信頼できないデータの逆シリアル化の問題として説明されています。Fortraのアドバイザリーによると、「有効に偽造されたライセンス応答署名を持つ攻撃者が、任意の攻撃者制御オブジェクトを逆シリアル化することで、コマンドインジェクションにつながる可能性がある」とされています。Rapid7は、この脆弱性が悪用されると、認証されていない攻撃者がGoAnywhere MFTのインスタンスでリモートコード実行(RCE)を達成できる可能性があると警告しています。また、Fortraは、GoAnywhere MFTバージョン7.8.4及びGoAnywhere MFT Sustainバージョン7.6.3にセキュリティ欠陥のパッチを含めており、顧客にGoAnywhere Admin Consoleが公開されていないことを確認するように促しています。
⚠ 影響
この脆弱性の悪用は、システムがインターネットに外部公開されていることに大きく依存するため、注意が必要です。Fortraは、Admin Auditログを監視し、例外スタックトレースに「SignedObject.getObject: string」を含むエラーを探すよう顧客にアドバイスしています。このエラーは、脆弱性の影響を示すものです。しかし、Fortraはこの脆弱性が悪用されているという具体的な報告はなく、Rapid7も公に利用可能な悪用コードを見ていないと述べています。とはいえ、この製品の性質と過去の歴史を考慮すると、この新たな脆弱性は重大な脅威として扱うべきです。
🛠 対策
Fortraは、顧客に対してGoAnywhere MFTの最新バージョンにアップデートすることを強く推奨しています。特に、バージョン7.8.4および7.6.3へのパッチ適用が必要です。また、GoAnywhere Admin Consoleが公にアクセス可能でないことを確認し、定期的にAdmin Auditログを確認することが重要です。加えて、脆弱性の影響を受ける可能性のあるシステムは、外部からのアクセスを制限し、必要に応じてファイアウォールの設定を見直すことが求められます。これにより、潜在的な攻撃からの防御を強化し、組織のデータを守ることができます。
