Şifreleme ve Anahtar Yönetimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Medusa Fidye Yazılımı Grubunun Şimdi Yamalı Sıfır Gün Güvenlik Açığından Yararlanmayla Bağlantısı Var
Mathew J. Schwartz (euroinfosec) •
10 Ekim 2025
Fortra’nın GoAnywhere yönetilen dosya aktarım yazılımını hedef alan saldırılar, yakın zamanda sistem yöneticilerinin yönetim konsolunu internete maruz bıraktığı şirket içi kurulumlardan yararlandı; bu, satıcının tavsiye ettiği bir yapılandırmadır.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Bilgisayar korsanlığı kampanyasına ilişkin araştırmasının bulgularını Perşembe günü yayınlayan Fortra, GoAnywhere MFT’nin Lisans Servlet’inde şu anda CVE-2025-10035 olarak izlenen sıfır gün seri durumdan çıkarma güvenlik açığından yararlanan saldırganlar tarafından “sınırlı” sayıda müşterinin ihlalinin gerçekleştiğini söyledi (bkz.: Medusa Fidye Yazılımı İştirakleri Fortra GoAnywhere Hack’leriyle Bağlantılıdır).
Fortra’nın raporunda, “Bu güvenlik açığı riskinin kapsamı, genel internete açık bir yönetici konsoluna sahip müşterilerle sınırlıdır” diyor. “GoAnywhere mimarisinin diğer web tabanlı bileşenleri bu güvenlik açığından etkilenmiyor. Durumu izlemeye devam ediyoruz. Şu anda, CVE-2025-10035 ile ilgili sınırlı sayıda yetkisiz etkinlik raporumuz var.”
Minnesota merkezli Fortra, ilk olarak 18 Eylül tarihli bir güvenlik duyurusunda, saldırganların maksimum CVSS puanı 10 olan CVE-2025-10035’i istismar ettiğini söyledi. Bu kusur, “geçerli bir şekilde sahte lisans yanıt imzasına sahip bir aktörün, aktör tarafından kontrol edilen rastgele bir nesnenin seri durumdan çıkarılmasına olanak tanıyor ve bu da muhtemelen komut enjeksiyonuna yol açıyor.”
Pazartesi günü Microsoft tarafından ayrıntılı olarak açıklandığı üzere, bilgi işlem devi Storm-1175’i takip eden bir siber suç grubu bu kusurdan yararlandı ve yöneticiler bir düzeltme eki uyguladıktan sonra bile kurbanın ortamına hâlâ erişebiliyor. Tehdit aktörü daha önce Medusa fidye yazılımını dağıtmak amacıyla kurbanın ağına erişim sağlamak için internet bağlantılı uygulamalardan yararlanmıştı.
Microsoft, “CVE-2025-10035’in etkisi, saldırganların başarılı bir şekilde istismar edilmesinin ardından sistem ve kullanıcı keşfi gerçekleştirebilmesi, uzun vadeli erişimi sürdürebilmesi ve yanal hareket ve kötü amaçlı yazılım için ek araçlar dağıtabilmesi gerçeğiyle daha da artıyor” diye uyardı.
Fortra, bir müşterinin kendisini ilk olarak 11 Eylül’deki saldırılara karşı uyardığını, ardından soruşturma başlattığını söyledi. Bulut tabanlı örneklerin her biri için günlüklerin incelenmesi de dahil olmak üzere, “Müşteri günlüklerini inceledik, şirket içi müşteri yönetici konsollarının açığa çıkmasını araştırdık ve güvenlik ihlali göstergeleri açısından MFTaaS – Fortra-barındırılan – örneklerimizi analiz ettik.”
Aynı gün şirket, GoAnywhere MFT yazılımının yönetici konsolunu internete açan şirket içi müşterilerle doğrudan iletişime geçti. “Destek ekibimiz, risk azaltma önlemlerini sağladı ve bu müşterilere talep edildiği gibi daha fazla yardım sağladı” dedi.
Fortra, aktarım hizmeti olarak yönetilen dosya ortamı örneklerini incelerken ve yönetici kontrollerini açığa çıkarmadıklarını doğrularken, saldırganların güvenlik açığından kendilerine karşı yararlanmaya çalıştıklarına dair işaretler gösteren üç MFTaaS örneği bulduğunu söyledi. “Bu örnekleri daha fazla araştırma için derhal izole ettik ve müşterilerle iletişime geçtik” dedi.
Fortra Gizemi Ortaya Çıkarıyor
Tehdit istihbaratı firması watchTowr’un CEO’su güvenlik açığı araştırmacısı Benjamin Harris, Fortra’nın genel şeffaflığını överken, satıcının saldırganların geçerli GoAnywhere MFT lisanslarını tam olarak nasıl taklit edebildiklerine ilişkin soruları hâlâ yanıtlamadığını söyledi.
Fortra yorum yapmayı reddetti.
Harris “varsayımının” şirketin özel anahtarının sızdırıldığı yönünde olduğunu ve bunun “saldırganların gezegendeki her GoAnywhere örneğinin memnuniyetle kabul edeceği kötü amaçlı nesneleri imzalamasına olanak sağlayacağını” söyledi. Diğer bir olasılık ise özel anahtarın, GoAnywhere ürününü etkinleştiren ve yeni bir lisansın imzalanması için otomatik olarak oluşturulan talebe kötü amaçlı bir nesne yerleştiren bir saldırganın kurbanı olmasıdır.
Harris, “Gizem hâlâ sürüyor; watchTowr araştırmacıları ve diğerleri, yalnızca Fortra’nın erişebildiğine inanılan özel bir anahtara erişim olmadan bu güvenlik açığından nasıl yararlanılabileceğini hâlâ bilmiyorlar” dedi.