Fortra’nın Goanywhere Yönetilen Dosya Aktarımı (MFT) çözümünde kritik, mükemmel bir 10.0 CVSS puanı güvenlik açığı, şirketin bir yama yayınlamasından en az bir hafta önce aktif olarak sıfır gün olarak kullanılmadı.
CVE-2025-10035 olarak izlenen güvenlik açığı, kimlik doğrulanmamış uzaktan kod yürütülmesine izin veren bir komut enjeksiyon kusurudur. Güvenlik firması Watchtowr, Fortra’nın 18 Eylül’deki kamu danışmanından sekiz gün önce 10 Eylül 2025’e kadar uzanan vahşi sömürü hakkında güvenilir kanıt bildirdi.
Fortra başlangıçta güvenlik açığını Goanywhere MFT lisans sunucusunda bir seansizasyon sorunu olarak nitelendirdi. Satıcının danışmanlığına göre, “geçerli bir şekilde dövülmüş lisans yanıt imzası” olan bir saldırgan, hazırlanmış bir nesneyi sazelleştirerek komut enjeksiyonuna yol açabilir.
Bununla birlikte, Fortra’nın 18 Eylül’deki ilk duyurusu, araştırmacıların alışılmadık bulduğu bir hareket olan uzlaşma göstergeleri (IOCS) dahil olmasına rağmen aktif sömürüden bahsetmedi. Şirket, sorunun 11 Eylül’deki bir dahili güvenlik kontrolü sırasında bulunduğunu belirtti.
Güvenlik Açığı 0 gün olarak sömürüldü
Güvenlik araştırmacıları, kusur ve sömürü zaman çizelgesinin daha ayrıntılı bir resmini sundu.
RAPID7’den yapılan araştırmalar, CVE-2025-10035’in tek bir hata olmadığını, üç ayrı konudan oluşan bir zincir olduğunu göstermektedir: 2023’ten beri bilinen bir erişim kontrolü bypass, yeni güvenli olmayan sealizasyon kusuru ve saldırganların istismar için gerekli belirli bir özel anahtarı bilmelerini sağlayan bilinmeyen bir sorun.
Tehdit aktörleri, uzaktan kod yürütülmesini (RCE) elde etmek için ön kimlik doğrulama sazizleme kırılganlığından yararlandı.
Bu erişimle, adlı bir arka kapı yöneticisi hesabı oluşturdular admin-go ve daha sonra MFT hizmetine erişmek için “meşru” bir web kullanıcı hesabı oluşturmak için kullandı. Bu web kullanıcısı aracılığıyla, saldırganlar birden fazla ikincil yük yükledi ve yürüttü.
WatchTowr Labs’a göre, sömürü 10 Eylül’de başladı ve 15 Eylül’de yama sürümü ve 18 Eylül’de kamu danışmanlığı, sıfır gün güvenlik açığı statüsünü doğruladı.
Fortra, vahşice sömürü hakkında şeffaflık yaratmayı taahhüt eden tasarım taahhüdünün bir imzalı olduğu için açıklama eleştiri aldı. Başlangıçta aktif saldırıları ifşa etmeyerek, güvenlik ekipleri, tehdit zaman çizelgesini tam olarak anlamadan riski değerlendirmek için bırakıldı.
Uzlaşma Göstergeleri (IOCS)
Wilded saldırıların kanıtı birkaç temel gösterge içerir:
- Arka kapı hesabı: Yerel bir hesap
admin-gotehlikeye atılan sistemlerde oluşturuldu. - Kötü niyetli dosyalar: Gibi yükler
C:\Windows\zato_be.exeVeC:\Windows\jwunst.exe(basit bir ikili) gözlendi. - Saldırgan ip: IP adresi
155.2.190.197tehdit oyuncusu ile bağlantılıydı. - Yürütülen komutlar: Komut
whoami /groupsçıkışı kaydedildiC:\Windows\test.txt.
Fortra, Goanywhere MFT sürüm 7.8.4 sürümünü yayınladı ve güvenlik açığını ele almak için 7.6.3 sürümünü sürdürdü.
Goanywhere MFT’nin fidye yazılımı grupları tarafından hedeflendiği tarihi göz önüne alındığında, kuruluşların derhal yama yapmaları ve yönetici konsollarının kamuya açık internete maruz kalmamasını istemektedir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
