GoAnywhere MFT’nin Lisans Servlet’indeki CVE-2025-10035 olarak takip edilen kritik bir seri durumdan çıkarma kusuru, Medusa fidye yazılımını yürütmek için Storm-1175 grubu tarafından zaten silah haline getirildi.
Güvenlik açığı GoAnywhere MFT’nin 7.8.3’e kadar olan sürümlerini etkiliyor. Bir tehdit aktörünün lisans yanıt imzasını taklit edebileceği ve doğrulama kontrollerini atlayabileceği Lisans Servlet Yönetici Konsolu’nda bulunur.
Aktör, saldırgan tarafından kontrol edilen bir nesnenin seri durumdan çıkarılmasıyla, Java sürecine rastgele komutlar ekleme yeteneği kazanır ve sonuçta internete açık örneklerde tam uzaktan kod yürütülmesine yol açar.
Seriden Çıkarma Kusuru (CVE-2025-10035)
Kusur, geçerli olarak imzalanmış bir veri oluşturulduktan veya ele geçirildikten sonra kimlik doğrulama gerektirmiyor, bu da yama uygulanmamış sistemlere karşı istismarın çok kolay gerçekleştirilebilmesini sağlıyor.
Başarılı saldırılar, sistem ve kullanıcı numaralandırmasına, uzun vadeli kalıcılığa ve yanal hareketi ve veri sızmasını kolaylaştırmak için ek araçların konuşlandırılmasına olanak tanır.
Derhal yama uygulanması çok önemlidir; yöneticilerin sorunu düzeltmek ve potansiyel olarak tehlikeye atılmış ortamları denetlemek için Fortra’nın danışma belgesinde belirtilen sürümlere yükseltmeleri gerekir.
Microsoft Tehdit İstihbaratı, aktif istismarı, halka açık uygulamaları hedef alan bir fidye yazılımı grubu olan Storm-1175’e bağladı.
İlk erişim, GoAnywhere MFT’de yeni açıklanan seri durumdan çıkarma hatası aracılığıyla elde ediliyor.
Storm-1175, kontrolü ele geçirdikten sonra RMM ikili dosyalarını, özellikle MeshAgent ve SimpleHelp’i GoAnywhere hizmet dizinine bırakır. Eş zamanlı olarak, gizli uzaktan erişimi kolaylaştırmak için kötü amaçlı JSP web kabukları oluşturulur.
Kullanım sonrasında aktörler, yerel kullanıcıları, grupları, etki alanı güven ilişkilerini ve ağ arayüzlerini numaralandırmak için PowerShell komutlarını çalıştırır.
Komuta ve kontrol kanalları, tespitten kaçınmak için genellikle Cloudflare aracılığıyla tünellenen RMM araçları aracılığıyla oluşturulur.
Sızma, çalınan verilerin saldırgan tarafından kontrol edilen bulut depolama alanına aktarılmasıyla rclone kullanılarak gerçekleştirilir. Son aşama, kurban varlıklarının Microsoft Defender tarafından Ransom Win32/Medusa olarak işaretlenen Medusa fidye yazılımıyla şifrelenmesini içeriyor.
| Risk Faktörleri | Detaylar |
| Etkilenen Ürünler | GoAnywhere MFT Lisansı Servlet Yönetici Konsolu 7.8.3’ten düşük |
| Darbe | RCE’ye giden komut enjeksiyonu |
| Kullanım Önkoşulları | Geçerli olarak sahte veya ele geçirilmiş lisans yanıt imzası |
| CVSS 3.1 Puanı | 10,0 (Kritik) |
Azaltmalar
Fortra talimatlarına göre hemen yamalı GoAnywhere MFT sürümüne yükseltin.
Açıkça onaylanmadıkça GoAnywhere sunucularından giden bağlantıları engellemek için çevre güvenlik duvarlarını ve proxy’leri yapılandırın.
Uç Nokta için Microsoft Defender’ın pasif AV koşullarında bile kötü amaçlı yapıları engellemesine izin vermek için EDR’yi Blok Modunda etkinleştirin.
Yaş veya yaygınlık kriterlerini karşılamayan yürütülebilir dosyaların engellenmesi ve web kabuğu oluşturulmasının devre dışı bırakılması gibi yaygın fidye yazılımı TTP’lerini önlemek için Saldırı Yüzeyi Azaltma Kurallarını dağıtın.
Yönetilmeyen veya düzeltme eki uygulanmamış GoAnywhere örneklerini belirlemek için Harici Saldırı Yüzey Yönetimi araçlarıyla izleyin.
Bekleme süresini ve uyarı yorgunluğunu azaltmak için Microsoft Defender’daki Otomatik Araştırmalardan ve düzeltme özelliklerinden yararlanın.
Kuruluşlar, hızlı yama uygulamayı, ağ bölümlendirmeyi ve gelişmiş uç nokta korumasını birleştiren derinlemesine savunma duruşunu benimseyerek, kötüye kullanım girişimlerini engelleyebilir ve Storm 1175 Medusa fidye yazılımının ele geçirilmesini engelleyebilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
