Source: https://www.securityweek.com/recent-fortra-goanywhere-mft-vulnerability-exploited-as-zero-day/
🛡 概要
Fortra GoAnywhere MFTにおける脆弱性CVE-2025-10035が発見され、悪用が確認されました。この脆弱性は、セキュアファイル転送アプリケーションのライセンスサーブレットにおけるデシリアライズの問題であり、攻撃者が偽のライセンス応答署名を用いることでコマンドインジェクションを実行できる可能性があります。Fortraは2025年9月18日にこの問題を修正しましたが、パッチ公開前からの悪用が報告されています。
🔍 技術詳細
この脆弱性はCVSSスコア10/10と評価されており、特にリモートコード実行(RCE)が可能です。攻撃者は、管理者コンソールへのアクセスを公開しないことが重要であり、特にインターネットに外部から接続されているシステムに依存しています。サイバーセキュリティ企業watchTowrは、2025年9月10日からこの脆弱性が悪用されていたと報告し、Fortraの公表よりも8日早いことを指摘しています。
⚠ 影響
この脆弱性の悪用により、攻撃者はバックドア管理者アカウントを作成し、MFTサービスへのアクセスを得ることができました。これにより、さまざまなペイロードをアップロードおよび実行することが可能になりました。Rapid7によると、この脆弱性は単なるデシリアライズの問題ではなく、2023年から知られているアクセス制御バイパスを含む三つのバグの連鎖が関与しています。また、攻撃者が特定の秘密鍵を知る方法に関する未解決の問題も存在します。
🛠 対策
Fortraは、GoAnywhere Admin Consoleへのアクセスを公開しないことを強く推奨しています。さらに、組織は脆弱性の悪用を防ぐために、リモートアクセスの監視や、適切なファイアウォール設定を実施する必要があります。また、システムが最新のパッチを適用していることを確認し、定期的なセキュリティ診断を行うことが重要です。特に、CVE-2025-10035に関する情報を常に更新し、必要に応じて迅速に対策を講じることが求められます。
