A ferramenta Fortra GoAnywhere MFT, amplamente utilizada para transferência de arquivos, está sob exploração ativa desde 10 de setembro de 2025 através da vulnerabilidade crítica CVE-2025-10035, com pontuação máxima de 10.0 no sistema CVSS. A falha permite que atacantes executem comandos arbitrários sem autenticação através de uma vulnerabilidade de desserialização no componente License Servlet, comprometendo completamente sistemas que possuem o console de administração exposto à internet.
A CISA confirmou oficialmente a exploração nesta segunda-feira, determinando correção até 20 de outubro para órgãos federais americanos, enquanto pesquisadores da watchTowr Labs identificaram que invasores criaram contas administrativas de backdoor em instâncias vulneráveis uma semana antes do anúncio público da Fortra.
Segundo a watchTowr, mais de 20 mil instâncias do GoAnywhere estão acessíveis pela internet. O ataque atual tem baixa complexidade, não requer interação do usuário e já foi observado sendo utilizado para carregar payloads maliciosos após a criação de usuários web não autorizados.
Versões vulneráveis: Todas as versões do GoAnywhere MFT anteriores à 7.8.4 e 7.6.3 (Sustain Release). A Fortra disponibilizou patches corretivos, e organizações que não puderem aplicá-los imediatamente devem garantir que o console de administração não esteja exposto publicamente.
Recomendações:
- Atualizar imediatamente o GoAnywhere MFT para as versões 7.8.4 ou 7.6.3 (Sustain Release).
- Garantir que o console de administração do GoAnywhere não esteja acessível publicamente, implementando segmentação de rede adequada e acesso via VPN.
- Revisar os registros de auditoria de administração (Admin Audit logs) em busca de atividades suspeitas.
- Verificar arquivos de log com erros contendo a string
SignedObject.getObject, que podem indicar tentativas de exploração. - Implementar regras de detecção em SIEM e EDR para identificar padrões de ataque à CVE-2025-10035.
- Realizar avaliação de comprometimento completa em instâncias expostas antes do patch.
A SEK permanece à disposição para auxiliar seus clientes na implementação das correções, avaliação de comprometimento e fortalecimento da postura de segurança.
