Fortra reveló el jueves los resultados de su investigación sobre CVE-2025-10035, una falta de seguridad crítica en GoAnywhere Managed File Transfer (MFT) que se estima que ha estado bajo explotación activa desde al menos el 11 de septiembre de 2025.
La compañía dijo que comenzó su investigación el 11 de septiembre luego de una «vulnerabilidad potencial» reportada por un cliente, descubriendo «actividad potencialmente sospechosa» relacionada con la falta.
Ese mismo día, Fortra dijo que se comunicó con clientes locales que fueron identificados por tener su consola de sucursal GoAnywhere accesible a la Internet pública y que notificó a las autoridades policiales sobre el incidente.
Al día ulterior estuvo acondicionado una revisión para las versiones 7.6.x, 7.7.x y 7.8.x del software, y las versiones completas que incorporan el parche (versiones 7.6.3 y 7.8.4) estuvieron disponibles el 15 de septiembre. Tres días a posteriori, se publicó formalmente un CVE para la vulnerabilidad, agregó.
«El zona de influencia del peligro de esta vulnerabilidad se limita a los clientes con una consola de sucursal expuesta a la Internet pública», dijo Fortra. «Otros componentes basados en web de la edificación GoAnywhere no se ven afectados por esta vulnerabilidad».
Sin retención, admitió que existe un «número restringido de informes» de actividad no autorizada relacionada con CVE-2025-10035. Como mitigaciones adicionales, la compañía recomienda que los usuarios restrinjan el camino a la consola de sucursal a través de Internet, por otra parte de habilitar el monitoreo y prolongar el software actualizado.
CVE-2025-10035 se refiere a un caso de vulnerabilidad de deserialización en el servlet de osadía que podría provocar la inyección de comandos sin autenticación. En un documentación de principios de esta semana, Microsoft reveló que una amenaza que rastrea como Storm-1175 ha estado explotando la falta desde el 11 de septiembre para implementar el ransomware Medusa.
Dicho esto, todavía no está claro cómo los actores de amenazas lograron obtener las claves privadas necesarias para explotar esta vulnerabilidad.
«El hecho de que Fortra haya optado ahora por confirmar (en sus palabras) ‘actividad no autorizada relacionada con CVE-2025-10035’ demuestra una vez más que la vulnerabilidad no era teórica y que el atacante de alguna forma eludió, o cumplió, los requisitos criptográficos necesarios para explotar esta vulnerabilidad», dijo el CEO y fundador de watchTowr, Benjamin Harris.
