Bilgisayar korsanları, Fortra’nın Goanywhere MFT’sinde, kimlik doğrulaması olmadan uzaktan enjekte izin veren maksimum şiddet güvenlik açığı (CVE-2025-10035) aktif olarak yararlanıyor.
Satıcı, 18 Eylül’de kusuru açıkladı, Buit şirket bir hafta önce öğrendi ve nasıl keşfedildiğine veya sömürüldüğüne dair herhangi bir ayrıntıyı paylaşmadı.
CVE-2025-10035, Goanywhere tarafından yönetilen dosya aktarım yazılımının lisans sunucusunda, “geçerli bir sahte lisans tepkisi imzasına sahip bir aktör” tarafından enjekte edilebilecek bir festivalleşme güvenlik açığıdır.
Fortra’nın danışmanlığı, saldırılarda kullanılan vefilililty hakkında herhangi bir bilgi içerecek şekilde güncellenmemiş olsa da, WatchTowr Labs’taki güvenlik araştırmacıları, Fortra Goanywhere CVE-2025-10035’in sıfır gün olarak kullanıldığını “güvenilir kanıtlar” aldıklarını söylüyor.
WhatStowr’ın raporu, “10 Eylül 2025’e kadar uzanan Fortra Goany Where CVE-2025-10035’in vahşice sömürülmesine dair güvenilir kanıtlar verildi.”
Araştırmacılar, “Bu, Fortra’nın 18 Eylül 2025’te yayınlanan kamu danışmanlığından sekiz gün önce.”
Diyerek şöyle devam etti: “Bu, Fortra’nın neden daha sonra Limited IOC’leri yayınlamaya karar verdiğini açıklıyor ve şimdi savunucuları zaman çizelgeleri ve risk hakkında düşünme şeklini hemen değiştirmeye çağırıyoruz.”
WatchTowr, analiz edilen verilerin sömürü ve bir arka kapı hesabının yaratımı ile ilgili yığın izini içerdiğini doğruladı:
- Öncelik öncesi süzelleştirme güvenlik açığından yararlandıktan sonra uzaktan komut yürütme elde etmek
- Backdoor Yönetici Hesabı Oluşturma yönetici
- “Meşru” erişimi etkinleştiren bir web kullanıcısı oluşturmak için hesabı kullanma
- Birden çok ikincil yükün yüklenmesi ve yürütülmesi
Raporun altında yayınlanan Gözetleme Gözetleme Göstergeleri’nden, yükler adlandırılmıştır ‘zato_be.exe‘ Ve ‘jwunst.exe. ‘
İkincisi, uzaktan erişim ürünü SimpleHelp için AA meşru ikilidir. Bu durumda, tehlikeye atılan uç noktaların kalıcı uygulamalı kontrolü için istismar edilmektedir.
Araştırmacılar ayrıca saldırganların ’Whoami/GruplarGeçerli kullanıcı hesabını ve Windows Group üyeliklerini yazdıran ve çıktıyı bir metin dosyasına kaydeden komut (Test.txt) eksfiltrasyon için.
Bu, tehdit oyuncusunun tehlikeye atılan hesabın ayrıcalıklarını kontrol etmesine ve ihlal edilen ortamdaki yanal hareket fırsatlarını keşfetmesine olanak tanır.
.jpg)
Kaynak: Watchtowr
BleepingComputer, Fortra ile temasa geçti ve WatchTowr’ın bulguları hakkında bir yorum istedi, ancak henüz bir yanıt almadık.
CVE-2025-10035 için aktif sömürü durumu göz önüne alındığında, harekete geçmeyen sistem yöneticilerinin 7.8.4 (en son) veya 7.6.3 (sürdürme sürümü) yamalı bir versiyona yükseltilmesi önerilir.
Bir hafifletme, Goanywhere yönetici konsolu için genel internet maruziyetini kaldırmaktır.
Fortra ayrıca, bir örneğin etkilenip etkilenmediğini belirlemek için yöneticilerin günlük dosyalarını ‘SignedObject.GetObject’ dizesi içeren hatalar açısından incelemesini önerir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.