La herramienta Fortra GoAnywhere MFT, ampliamente utilizada para la transferencia de archivos, ha estado bajo explotación activa desde el 10 de septiembre de 2025 a través de la vulnerabilidad crítica CVE-2025-10035, con la puntuación máxima de 10.0 en el sistema CVSS. La falla permite que los atacantes ejecuten comandos arbitrarios sin autenticación mediante una vulnerabilidad de deserialización en el componente License Servlet, comprometiendo completamente los sistemas que tienen la consola de administración expuesta a internet.
La CISA confirmó oficialmente la explotación este lunes, determinando la corrección antes del 20 de octubre para las agencias federales de EE.UU., mientras que investigadores de watchTowr Labs identificaron que los atacantes habían creado cuentas administrativas de backdoor en instancias vulnerables una semana antes del anuncio público de Fortra.
Según watchTowr, más de 20,000 instancias de GoAnywhere están accesibles por internet. El ataque actual tiene baja complejidad, no requiere interacción del usuario y ya se ha observado su uso para cargar payloads maliciosos después de la creación de cuentas web no autorizadas.
Versiones vulnerables: Todas las versiones de GoAnywhere MFT anteriores a la 7.8.4 y 7.6.3 (Sustain Release). Fortra ha puesto a disposición parches correctivos, y las organizaciones que no puedan aplicarlos de inmediato deben garantizar que la consola de administración no esté expuesta públicamente.
Recomendaciones:
- Actualizar inmediatamente GoAnywhere MFT a las versiones 7.8.4 o 7.6.3 (Sustain Release).
- Asegurar que la consola de administración de GoAnywhere no sea accesible públicamente, implementando segmentación de red adecuada y acceso mediante VPN.
- Revisar los registros de auditoría de administración (Admin Audit logs) en busca de actividades sospechosas.
- Verificar los archivos de log con errores que contengan la cadena
SignedObject.getObject
, que pueden indicar intentos de explotación. - Implementar reglas de detección en SIEM y EDR para identificar patrones de ataque relacionados con CVE-2025-10035.
- Realizar una evaluación completa de compromiso en instancias expuestas antes del parche.
SEK permanece a disposición para ayudar a sus clientes en la implementación de correcciones, evaluación de compromiso y fortalecimiento de la postura de seguridad.