Vulnerabilidad Crítica en Fortra GoAnywhere MFT Explotada por Atacantes

La herramienta Fortra GoAnywhere MFT, ampliamente utilizada para la transferencia de archivos, ha estado bajo explotación activa desde el 10 de septiembre de 2025 a través de la vulnerabilidad crítica CVE-2025-10035, con la puntuación máxima de 10.0 en el sistema CVSS. La falla permite que los atacantes ejecuten comandos arbitrarios sin autenticación mediante una vulnerabilidad de deserialización en el componente License Servlet, comprometiendo completamente los sistemas que tienen la consola de administración expuesta a internet.

La CISA confirmó oficialmente la explotación este lunes, determinando la corrección antes del 20 de octubre para las agencias federales de EE.UU., mientras que investigadores de watchTowr Labs identificaron que los atacantes habían creado cuentas administrativas de backdoor en instancias vulnerables una semana antes del anuncio público de Fortra.

Según watchTowr, más de 20,000 instancias de GoAnywhere están accesibles por internet. El ataque actual tiene baja complejidad, no requiere interacción del usuario y ya se ha observado su uso para cargar payloads maliciosos después de la creación de cuentas web no autorizadas.

Versiones vulnerables: Todas las versiones de GoAnywhere MFT anteriores a la 7.8.4 y 7.6.3 (Sustain Release). Fortra ha puesto a disposición parches correctivos, y las organizaciones que no puedan aplicarlos de inmediato deben garantizar que la consola de administración no esté expuesta públicamente.

Recomendaciones:

  • Actualizar inmediatamente GoAnywhere MFT a las versiones 7.8.4 o 7.6.3 (Sustain Release).
  • Asegurar que la consola de administración de GoAnywhere no sea accesible públicamente, implementando segmentación de red adecuada y acceso mediante VPN.
  • Revisar los registros de auditoría de administración (Admin Audit logs) en busca de actividades sospechosas.
  • Verificar los archivos de log con errores que contengan la cadena SignedObject.getObject, que pueden indicar intentos de explotación.
  • Implementar reglas de detección en SIEM y EDR para identificar patrones de ataque relacionados con CVE-2025-10035.
  • Realizar una evaluación completa de compromiso en instancias expuestas antes del parche.

SEK permanece a disposición para ayudar a sus clientes en la implementación de correcciones, evaluación de compromiso y fortalecimiento de la postura de seguridad.

Más información

 

Más contenido como este:

SEK Identifica Campaña de Estafa en WhatsApp con Falso Comprobante de Pago

SEK ha identificado una nueva campaña de ciberataques dirigida a empresas brasileñas a través de WhatsApp

NDV Extraordinaria – VMware Aria Operations y VMware Tools

Broadcom reveló la CVE-2025-41244 (CVSS 7.8) en VMware Aria/Tools, zero-day explotada por actores chinos.

Aviso de cookies
SEK

SEK respeta su privacidad y se compromete con el tratamiento de sus datos personales. Para ello, hemos elaborado este Aviso de Cookies para explicarle cómo utilizamos cookies en su navegación en nuestro sitio web e indicar cuáles son los cookies utilizados.

Cookies estrictamente necesarios

Necesitamos recolectar ciertos cookies para que nuestro sitio web funcione correctamente. No es posible rechazar estos cookies si desea acceder al sitio web.

Cookies de rendimiento/análisis

Nos permiten contar visitas y fuentes de tráfico para que podamos medir y mejorar el rendimiento de nuestro sitio web. Nos ayudan a analizar, por ejemplo, qué páginas son las más y menos populares y a ver cómo los visitantes se mueven en nuestro sitio web.

Cookies de preferencia

Nos permiten personalizar la experiencia del usuario sin que tenga que reconfigurar las preferencias en cada visita al sitio, registrando opciones individuales, como el idioma preferido, el diseño o las configuraciones de accesibilidad.