Goanywhere MFT’nin lisans sunucusunda kritik bir sıfır günlük güvenlik açığı, Medusa fidye yazılımını dağıtmak için aktif olarak sömürülüyor.
18 Eylül 2025’te Fortra, mükemmel bir CVSS skoru 10.0 ile bir seans hatası kusuru olan CVE-2025-10035’i açıklayan bir danışmanlık yayınladı.
Storm-1175 olarak izlenen tehdit aktörleri, maruz kalan sistemlerde uzaktan kod yürütme (RCE) kazanmak için bu sorunu kötüye kullandı ve bu da yaygın uzlaşmaya yol açtı.
Güvenlik Açığı Analizi
CVE-2025-10035, 7.8.3’e kadar Goanywhere MFT sürümlerinde bulunur. Kusur, bir saldırganın lisans yanıt imzası ve imza doğrulamasını atlamasına izin verir.
Saldırgan, hazırlanmış bir yanıt göndererek, keyfi, saldırgan kontrollü nesnelerin seansize edilmesini tetikler. Bu da komut enjeksiyonu ve tam RCE’yi sağlar.
| CVE kimliği | Güvenlik Açığı Türü | Etkilenen Ürün ve Sürümler | CVSS skoru (3.1) |
| CVE-2025-10035 | Desarizasyon Kususu | Goanywhere Mft Lisans Servlet Yönetici Konsolu ≤ 7.8.3 | 10.0 |
Güvenlik açığı, geçerli yanıtlar hazırlandığında veya ele geçirildiğinde kimlik doğrulaması olmadan kullanılabileceğinden, internete bakan Goanywhere Dağıtım ciddi risk altındadır.
Başarılı sömürü, aktöre sistem ve kullanıcı keşif komutlarını çalıştırma yeteneği verir. Ayrıca yanal hareket için ek aletlerin kurulmasına izin verir.
Kamu rehberliği, Yamalı Goanywhere MFT sürümüne derhal güncellenmeyi ve lisans doğrulama yapılandırmalarını gözden geçirmeyi şiddetle çağırıyor.
Sömürü girişimlerini erken tespit etmek için lisans sunucusuna olağandışı taleplerin izlenmesi de önerilir.
Storm-1175’e göre sömürü faaliyeti
Microsoft Tehdit İstihbaratı, 11 Eylül 2025’ten itibaren aktif sömürü tanımladı. Storm-1175’in kampanyası tutarlı bir çok aşamalı model izliyor:
- İlk Erişim: Lisans hizmetinde sıfır gün fesselleştirme kırılganlığının sömürülmesi RCE.
- Kalıcılık: Saldırganlar, uzaktan izleme ve yönetim (RMM) araçlarını (simplehelp ve meshagent) doğrudan Goanywhere sürecine bırakır ve Web mermilerini uygulama dizinlerindeki .jsp dosyaları aracılığıyla dağıtır.
- Keşif: Tehdit oyuncusu, çevreyi haritalamak ve ağ tarama araçlarını dağıtmak için whoami, systemInfo ve net kullanıcı gibi komutları yürütür.
- Yanal hareket: MSTSC.EXE kullanan RDP oturumları, ana bilgisayarlar arasındaki hareketi kolaylaştırır.
- Komut ve Kontrol: RMM araçları, genellikle trafiği güvence altına almak için bir Cloudflare tüneli kullanarak kalıcı kontrol oluşturur.
- Pessfiltration: RCLone, tehlikeye atılan ağlardan veri toplamak ve aktarmak için kullanılır.
- Fidye Yazılımı Dağıtım: Medusa fidye yazılımı şifreleme sistemlerinin son yükleri, şifre çözme anahtarları için ödeme talep ediyor.
Azaltma ve koruma rehberliği
Bu tehdide karşı savunmak için kuruluşlar, Goanywhere MFT’yi Fortra’nın danışmanlığına göre en son yamalı versiyona hemen yükseltmelidir.
Yama yapmak önceden sömürüyü geri almadığından, uzlaşmadan şüphelenilen sistemlerin kapsamlı araştırılması esastır. Kötü amaçlı indirmeleri ve C2 iletişimini önlemek için sunucular için giden İnternet erişimini kısıtlayın.
Antivirüs taramalarını atlasalar bile, kötü amaçlı artefaktların durdurulduğundan emin olmak için Blok Modunda uç nokta algılama ve yanıtı (EDR) dağıtın.
Uyarılara hızlı yanıt vermek için otomatik soruşturma ve iyileştirmeyi etkinleştirin. Web kabuğunun oluşturulmasını önlemek ve güven metriklerine dayalı yürütülebilir lansmanları kısıtlamak da dahil olmak üzere ortak fidye yazılımı yöntemlerini engellemek için saldırı yüzeyi azaltma kurallarını açın.
Saldırılmamış Goanywhere örneklerini keşfetmek için harici bir saldırı yüzey yönetimi çözümü kullanın. Şüpheli imza doğrulama arızaları için lisans sunucu uygulaması trafiğini sürekli olarak izleyin.
Son olarak, savunmasız cihazları tespit etmek, sömürü denemeleri konusunda uyarı ve çevre genelinde algılama ve yanıtı koordine etmek için Microsoft Defender güvenlik açığı yönetiminden ve XDR özelliklerinden yararlanın.
Hızlı yama, sıkı ağ kontrolleri ve gelişmiş uç nokta güvenliğini birleştirerek, kuruluşlar bu yüksek şiddetli Goanywhere MFT güvenlik açığının sağladığı riski azaltabilir ve Storm-1175’in Medusa fidye yazılım kampanyalarını bozabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.