La compañía de seguridad cibernética WatchToWr Labs ha revelado que tiene «evidencia factible» de la explotación activa de la equivocación de seguridad recientemente divulgada en el software de transferencia de archivos tramitado (MFT) de Fortra Goany en el 10 de septiembre de 2025, una semana completa antiguamente de que se divulgue públicamente.
«Este no es ‘solo’ un defecto CVSS 10.0 en una posibilidad favorecida durante mucho tiempo por grupos aptos y operadores de ransomware: es una vulnerabilidad que se ha explotado activamente en la naturaleza desde al menos el 10 de septiembre de 2025», Benjamin Harris, CEO y fundador de Watchtowr, contó The Hacker News.
La vulnerabilidad en cuestión es CVE-2025-10035, que se ha descrito como una vulnerabilidad de deserialización en el servlet de atrevimiento que podría dar oportunidad a la inyección de comandos sin autenticación. Fortra GoanyWhere Traducción 7.8.4, o la traducción 7.6.3 del sostenimiento, fue arrojado por Fortra la semana pasada para remediar el problema.
According to an analysis released by watchTowr earlier this week, the vulnerability has to do with the fact that it’s possible to send a crafted HTTP GET request to the «/goanywhere/license/Unlicensed.xhtml/» endpoint to directly interact with the License Servlet («com.linoma.ga.ui.admin.servlet.LicenseResponseServlet») that’s exposed at «/Goanywhere/Lic/Acept/
Armado con este bypass de autenticación, un atacante puede servirse las protecciones de deserialización inadecuadas en el servlet de atrevimiento para dar como resultado la inyección de comandos. Dicho esto, exactamente cómo ocurre esto es una especie de enigma, los investigadores Sonny MacDonald y Piotry Bazydlo señalaron.
El proveedor de ciberseguridad Rapid7, que además lanzó sus hallazgos a CVE-2025-10035, dijo que no es una sola vulnerabilidad de deserialización, sino más acertadamente una sujeción de tres problemas separados,
- Un bypass de control de golpe que se conoce desde 2023
- La insegura vulnerabilidad de la deserialización CVE-2025-10035, y
- Un problema aún desconocido relacionado con cómo los atacantes pueden conocer una esencia privada específica
En un noticia posterior publicado el jueves, WatchToWr dijo que recibió evidencia de esfuerzos de explotación, incluido un indicio de pila, que permite la creación de una cuenta de puerta trasera. La secuencia de la actividad es la próximo –
- Activando la vulnerabilidad previa a la autorización en Fortra Goanywhere Mft para obtener la ejecución de código remoto (RCE)
- Usando el RCE para crear un beneficiario de Goanywhere llamado «Admin-go»
- Uso de la cuenta recién creada para crear un beneficiario web
- Beneficiarse al beneficiario web para que interactúe con la posibilidad y cargue y ejecute cargas enseres adicionales, incluida SimpleHelp y un implante desconocido («zato_be.exe»)
La compañía de seguridad cibernética además dijo que la actividad del actor de amenazas se originó en la dirección IP 155.2.190 (.) 197, que, según Virustotal, se ha traumatizado para realizar ataques de fuerza bruta dirigida a Fortinet FortiGate SSL VPN Appliances a principios de agosto de 2025. Sin incautación, Watchtowr dijo a la nota del hacker que no ha observado ninguna actividad de la dirección IP contra su discurso de Honeypots.
Dados los signos de explotación en el flujo, es imperativo que los usuarios se muevan rápidamente para aplicar las correcciones, si no es así. Hacker News se ha comunicado con Fortra para hacer comentarios, y actualizaremos la historia si recibimos telediario.
