🛡 概要
FortraのGoAnywhere MFTにおいて、最大深刻度の脆弱性CVE-2025-10035が発見され、ハッカーによって悪用されています。この脆弱性は、認証なしにリモートコマンドを注入することを可能にし、システムに深刻な影響を及ぼす可能性があります。2025年9月18日にベンダーがこの脆弱性を公表しましたが、実際にはそれよりも一週間前から攻撃が行われていたという情報があります。具体的には、ライセンスサーブレットに存在するデシリアライズ脆弱性であり、正当なライセンス応答署名を持つ攻撃者によって悪用される可能性があります。
🔍 技術詳細
CVE-2025-10035は、GoAnywhereのライセンスサーブレットにおけるデシリアライズの脆弱性です。この脆弱性を悪用することで、攻撃者はリモートコマンドの実行やバックドアの作成が可能になります。WatchTowr Labsの研究者によると、2025年9月10日からこの脆弱性が悪用された証拠が確認されており、Fortraの公表よりも8日前に攻撃が始まっていたことが明らかになっています。具体的な攻撃手法としては、admin-goというバックドア管理アカウントを作成し、そのアカウントを使用して「合法的」なアクセスを得るためのウェブユーザーを作成することが含まれています。また、攻撃者は’whoami/groups’コマンドを実行し、現在のユーザーアカウントとグループメンバーシップを確認し、その出力をテキストファイルに保存して情報を外部に送信しました。
⚠ 影響
この脆弱性により、攻撃者はシステムへのリモートアクセスを取得し、悪意のあるコマンドを実行することが可能になります。特に、バックドアを作成することで、攻撃者は持続的にシステムを掌握し、さらなる攻撃を行うことができます。CVE-2025-10035が実際に悪用されている事例が報告されており、その影響は広範囲に及ぶ可能性があります。システム管理者が適切な対策を講じていない場合、企業の機密情報が漏洩するリスクが高まります。さらに、攻撃者はシステム内での横移動を試みることもあり、他のシステムへの影響も考慮しなければなりません。
🛠 対策
Fortraは、CVE-2025-10035に対する対策として、パッチが適用されたバージョンへのアップグレードを推奨しています。最新バージョン7.8.4またはサステインリリース7.6.3への移行が必要です。また、GoAnywhere管理コンソールを公開インターネットから隔離することが重要です。さらに、管理者はログファイルを確認し、’SignedObject.getObject’という文字列を含むエラーがないか確認することで、影響を受けたインスタンスを特定することができます。これらの対策を講じることで、システムの安全性を高めることが可能です。
