Source: https://thehackernews.com/2025/10/microsoft-links-storm-1175-to.html
🛡 概要
2025年9月11日、MicrosoftはStorm-1175というサイバー犯罪グループがFortraのGoAnywhereソフトウェアに存在する重大な脆弱性を悪用して、Medusaランサムウェアを展開していると発表しました。この脆弱性はCVE-2025-10035で、CVSSスコアは10.0という致命的なデシリアライズバグです。この脆弱性により、認証なしにコマンドインジェクションが可能になる恐れがあります。
🔍 技術詳細
CVE-2025-10035は、悪意のあるライセンス応答署名を持つ攻撃者が任意のオブジェクトをデシリアライズすることを可能にし、それによってコマンドインジェクションやリモートコード実行(RCE)につながる可能性があります。この脆弱性は、GoAnywhereのバージョン7.8.4および持続的リリース7.6.3で修正されました。Storm-1175は、GoAnywhere MFTの公開アプリケーションを利用して初期アクセスを得る手法で知られています。
⚠ 影響
この脆弱性の悪用により、攻撃者はシステムやユーザーの発見を行い、長期的なアクセスを維持し、さらに移動やマルウェアの展開を行うための追加ツールを導入することができます。攻撃者は、RMMツールを使用して持続性を維持し、GoAnywhere MFTのディレクトリに.jspファイルを作成することが観測されています。これにより、ネットワーク全体での横移動が可能となり、最終的にはMedusaランサムウェアの展開につながります。
🛠 対策
組織は、GoAnywhere MFTを使用している場合、最新のバージョンにアップデートし、セキュリティパッチを適用することが急務です。また、ネットワーク監視を強化し、不審な活動を早期に検出できる体制を整える必要があります。Fortraからの情報提供を求めることも重要で、透明性のあるコミュニケーションが求められます。脆弱性の影響を受けた可能性のある組織は、早急に対応策を講じるべきです。
