Fortra Perşembe günü, GoAnywhere Yönetilen Dosya Aktarımı’nda (MFT) en az 11 Eylül 2025’ten bu yana aktif olarak kullanıldığı değerlendirilen kritik bir güvenlik açığı olan CVE-2025-10035 ile ilgili araştırmasının sonuçlarını açıkladı.
Şirket, bir müşteri tarafından bildirilen “potansiyel bir güvenlik açığının” ardından 11 Eylül’de soruşturmaya başladığını ve kusurla ilgili “potansiyel şüpheli aktiviteyi” ortaya çıkardığını söyledi.
Aynı gün Fortra, GoAnywhere yönetici konsollarının halka açık internete erişebildiği belirlenen şirket içi müşterilerle iletişime geçtiğini ve olayla ilgili kolluk kuvvetlerine bilgi verdiğini söyledi.
Yazılımın 7.6.x, 7.7.x ve 7.8.x sürümleri için bir düzeltme ertesi gün kullanıma sunuldu ve 15 Eylül’de kullanıma sunulan yamayı içeren tam sürümler (7.6.3 ve 7.8.4) yayınlandı. Üç gün sonra güvenlik açığına yönelik bir CVE resmi olarak yayınlandı.
Fortra, “Bu güvenlik açığı riskinin kapsamı, genel internete açık bir yönetici konsoluna sahip müşterilerle sınırlıdır” dedi. “GoAnywhere mimarisinin diğer web tabanlı bileşenleri bu güvenlik açığından etkilenmez.”
Ancak CVE-2025-10035 ile ilgili yetkisiz faaliyete ilişkin “sınırlı sayıda rapor” bulunduğunu kabul etti. Şirket, ek önlemler olarak kullanıcıların internet üzerinden yönetici konsolu erişimini kısıtlamasını, izlemeyi etkinleştirmesini ve yazılımı güncel tutmasını öneriyor.
CVE-2025-10035, Lisans Servlet’inde kimlik doğrulama olmadan komut eklemeyle sonuçlanabilecek bir seri durumdan çıkarma güvenlik açığı durumuyla ilgilidir. Bu hafta başında yayınlanan bir raporda Microsoft, Storm-1175 olarak takip ettiği bir tehdidin, Medusa fidye yazılımını dağıtmak için 11 Eylül’den bu yana bu kusurdan yararlandığını açıkladı.
Bununla birlikte, tehdit aktörlerinin bu güvenlik açığından yararlanmak için gereken özel anahtarları nasıl elde edebildikleri konusunda hala bir netlik yok.
watchTowr CEO’su ve kurucusu Benjamin Harris, “Fortra’nın artık (kendi sözleriyle) ‘CVE-2025-10035 ile ilgili yetkisiz etkinliği’ onaylamayı seçmesi, güvenlik açığının teorik olmadığını ve saldırganın bu güvenlik açığından yararlanmak için gereken kriptografik gereksinimleri bir şekilde atlattığını veya karşıladığını bir kez daha gösteriyor.” dedi.