Fortra’nın Goany Where Yönetilen Dosya Aktarımı (MFT) çözümünü kullanan binlerce şirket, tam sistem devralma tehdidiyle karşı karşıya. Resmi olarak CVE-2025-10035 olarak etiketlenen ve 18 Eylül 2025’te yayınlanan sorun, 10.0 maksimum risk puanını taşıyor, yani suçlular hassas organizasyonel verileri ele almak için tasarlanmış sistemlerin tam kontrolünü elde edebilecekleri anlamına geliyor.
Risk nedir?
Bu kritik sorun, lisans kontrolleriyle ilgilenen bir bileşen olan Fortra’nın Goanywhere MFT’nin lisans sunucusuna dayanmaktadır. Esasen bir seansizasyon kırılganlığıdır. Basitçe söylemek gerekirse, MFT çözümleri işletmeler tarafından büyük miktarda elektronik veriyi (müşteri kayıtları/finansal bilgiler gibi) sistemler arasında güvenli ve güvenilir bir şekilde hareket ettirmek için kullanılır. Yazılım, karmaşık verileri aktarım için basit bir formata dönüştürür (serileştirme) ve ardından onu geri dönüştürür (serileştirme).
Flaw, kötü niyetli bir kişinin, zararlı bir nesne yüklemek için “geçerli bir dövme lisans yanıt imzası” kullanarak tersine dönme (serileştirme) işlemi sırasında yazılımı kandırmasına izin veriyor. Bu, bir saldırganın sistemde kendi kodlarını çalıştırmasına izin vererek komut enjeksiyonuna yol açabilir.
Bilgileriniz için Goanywhere MFT, Fortune 500 dağıtımları da dahil olmak üzere işletmeler için veri alışverişini otomatikleştiren ve koruyan yüksek güvenlikli bir çözümdür. Dolayısıyla, bu kusur bir saldırganın tüm dosya aktarımı altyapısını ele geçirmesine izin verebilir ve son derece hassas kurumsal ve hükümet verilerini riske atabilir.
Hackread.com ile paylaşılan WatchTowr Labs’ın uzun teknik analizine göre, durumun ağırlığını vurguladı ve “internete maruz kalan 20.000’den fazla örnek olduğunu belirtti. Bir oyun alanı uygun gruplar hayal ediyor.”
Analizleri önemli bir gizeme işaret ediyor: Mükemmel CVSS 10.0 skoruna rağmen, gerekli imza doğrulama kontrolü nedeniyle hatadan yararlanmak kağıt üzerinde zor görünüyor. Bununla birlikte, yüksek puan, satıcı avukatları ve güncelleme tavsiyeleri ile birleştiğinde, tehdidin çok gerçek olduğunu gösteriyor, çünkü “hiçbir satıcı bir CVSS 10 atamadığı”.
Bunu ilk kez görmedik; 2023 yılında, aynı üründeki benzer bir ön kimlik doğrulama komutu enjeksiyon kusuru (CVE-2023-0669) CL0P fidye yazılımı çetesi tarafından geniş çapta sömürüldü.
Verileri korumak için acil eylem gerekli
İyi haber şu ki, Fortra 7.8.4 sürümünde güncellemeler yayınladı ve kusuru düzeltmek için 7.6.3 sürümünü sürdürdü. Organizasyonların bu yamalı sürümlerden birine hemen yükseltmesi şiddetle tavsiye edilir.
Bu saldırının, bu tür yazılımlar için ortak bir durum olan kamu internetine doğrudan bağlı olmasına dayandığını belirtmek gerekir. Bu nedenle, ek bir koruma olarak, yöneticiler derhal Goanywhere yönetici konsolunun halka açık olmamasını sağlamalıdır. Hizmeti bir güvenlik duvarının veya VPN’nin arkasına yerleştirerek erişimi sınırlamak, herhangi bir olağandışı etkinlik için sistem günlüklerini izleme ile birlikte hayati bir ilk adımdır.
Uzman Yorumları
Watchtowr’da bir tehdit istihbarat uzmanı olan Ryan Dewhurst, “Bu sorunun yakında Wild-Insouring için silahlanacağı kesin” diyerek son derece ciddi olduğunu düşünüyor.
“Fortra’nın Goanywhere MFT çözümündeki yeni açıklanan güvenlik açığı, yönetici konsolundaki aynı lisans kodu yolunu, 2023’te lockbit de dahil olmak üzere birden fazla fidye yazılımı ve APT grubu tarafından yaygın olarak sömürülen CVE-2023-0669 ile etkiliyor.“ vurguladı.
“İnternete maruz kalan binlerce Goanywhere MFT örneğiyle, bu sorunun yakında serin sömürü için silahlanacağı kesin,“ Ryan uyardı.
Dewhurst, HackRead.com ile paylaşılan yorumlarında, “Fortra’nın sömürülmesinin harici pozlama gerektirdiğini not ederken, bu sistemler genellikle tasarıma göre internete karşıdır, bu nedenle kuruluşlar savunmasız olduklarını varsaymalıdır. Kuruluşlar derhal resmi yamaları uygulamalı ve yönetici konsoluna harici erişimi kısıtlamak için adımlar atmalıdır” dedi.