Siber güvenlik şirketi WatchTowr Labs, Fortra Goany Where Yönetilen Dosya Transferi (MFT) yazılımında, 10 Eylül 2025’in başlarında, kamuya açıklanmadan bir hafta önce, yakın zamanda açıklanan güvenlik kusurunun “güvenilir bir kanıtı” olduğunu açıkladı.
CEO ve WatchTowr’ın kurucusu Benjamin Harris, Hacker News’e verdiği demeçte, “Bu, APT Grupları ve Fidye Yazılımları Operatörleri tarafından uzun süredir tercih edilen bir çözümde CVSS 10.0 kusuru değil – en az 10 Eylül 2025’ten beri vahşi doğada aktif olarak sömürülen bir güvenlik açığı.” Dedi.
Söz konusu güvenlik açığı, lisans sunucusunda, kimlik doğrulaması olmadan komut enjeksiyonuna yol açabilecek bir seans sağlığı olarak tanımlanan CVE-2025-10035’tir. Fortra Goanywhere sürüm 7.8.4 veya SUSURT sürümü 7.6.3, geçen hafta Fortra tarafından sorunu gidermek için yayınlandı.
WatchTowr tarafından bu haftanın başlarında yayınlanan bir analize göre, kırılganlık, lisans sunucusu (“com.linoma.ga.ui.admin.servlet daha fazla ortaya çıkan” /goanywhere/license/unlicensed.xhtml/ “son noktası” son noktasına göndermenin mümkün olduğu gerçeğiyle ilgilidir. “/Goany Where/Lic/Kabul/
Bu kimlik doğrulama bypass ile donanmış olan bir saldırgan, komut enjeksiyonuna yol açacak lisans sunucusunda yetersiz serileştirme korumalarından yararlanabilir. Bununla birlikte, bunun tam olarak nasıl meydana geldiği bir gizemdir, araştırmacılar Sonny MacDonald ve Piotr Yakazydlo.
Bulgularını CVE-2025-10035’te de yayınlayan Siber Güvenlik Satıcı Rapid7, bunun tek bir fasansalaşma kırılganlığı değil, üç ayrı konudan oluşan bir zincir olduğunu söyledi-
- 2023’ten beri bilinen bir erişim kontrol bypass
- Güvenli olmayan seansizasyon güvenlik açığı CVE-2025-10035 ve
- Saldırganların belirli bir özel anahtarı nasıl bilebileceğine ilişkin henüz bilinmeyen bir sorun
Perşembe günü yayınlanan bir sonraki raporda WatchTowr, bir arka kapı hesabının oluşturulmasını sağlayan bir yığın izi de dahil olmak üzere sömürü çabalarına dair kanıt aldığını söyledi. Etkinliğin sırası aşağıdaki gibidir –
- Uzaktan Kod Yürütülmesini (RCE) elde etmek için Fortra Goany Where MFT’deki onaylama öncesi güvenlik açığının tetiklenmesi
- “Admin-go” adlı bir Goanywhere kullanıcısı oluşturmak için RCE’yi kullanmak
- Bir web kullanıcısı oluşturmak için yeni oluşturulan hesabı kullanma
- Web kullanıcısından çözümle etkileşime geçmek ve SimpleHelp ve bilinmeyen bir implant (“zato_be.exe”) dahil olmak üzere ek yükleri yüklemek ve yürütmek için kullanmak
Siber güvenlik şirketi ayrıca IP adresinden kaynaklanan tehdit oyuncusu etkinliğinin 155.2.190[.]Virustotal’a göre, Fortinet Fortigate SSL VPN aletlerini hedefleyen kaba saldırılar yürüttüğü için işaretlendi.
Wild-içi sömürü belirtileri göz önüne alındığında, kullanıcıların henüz olmasa bile düzeltmeleri uygulamak için hızlı hareket etmeleri zorunludur. Hacker News, yorum için Fortra’ya ulaştı ve tekrar duyarsak hikayeyi güncelleyeceğiz.