Microsoft’tan yapılan son güncellemeye göre, Fortra’nın Goanywhere Yönetilen Dosya Aktarımı (MFT) çözümünde bir CVSS 10.0 Desarizasyon Güvenlik Açığı artık Medusa Fidye Yazılım Grubu tarafından aktif olarak sömürülüyor.
25 Eylül’de hackread.com tarafından bildirilen kusur, MFT’nin lisans sunucusunda bulunan tehlikeli bir firalizasyon kırılganlığıdır. Bu, bir saldırganın kimlik doğrulanmamış uzaktan kod yürütme (RCE) ve tam sistem devralma elde etmesini sağlar.
Bir lisans yanıt imzası oluşturarak, bir saldırgan güvenlik kontrollerini atlayabilir ve yazılımı kötü amaçlı kod yürütmeye zorlayabilir. Bu yüksek riskli RCE özelliği, internete maruz kalan tüm Goany Where örneklerini son derece savunmasız hale getirir.
Sömürü zaman çizelgesi ve bağımsız onay
Fortra, 18 Eylül 2025’te bir uyarı ve yama yayınlamasına rağmen, WatchTowr Labs’tan güvenlik araştırmacıları, Fortra’nın kamu danışmanlığından sekiz gün önce 10 Eylül 2025’e kadar uzanan sömürü faaliyeti buldular.
WatchTowr Labs’tan ayrıntılı olarak yetki sonrası analizi tutarlı bir model gösterir: RCE’ye ulaştıktan sonra saldırganlar ‘admin-go’ adlı gizli bir yönetim hesabı oluşturarak kalıcılık oluşturdular.
Daha sonra SimpleHelp ve Meshagent gibi meşru uzaktan izleme ve yönetim (RMM) araçları için ikili dosyalar bırakarak yanal olarak hareket ettiler. WatchTowr ekibi ayrıca Fortra’nın “Etkilenmiş miyim?” Diye danışmanlık bölümünü de önerdi. W-to-Wild Sömürü’nü tam olarak kabul etmeden uzlaşma belirtilerini paylaşmak için örtülü bir yöntemdi.
Medusa Fidye Yazılımı Onaylandı
Microsoft Tehdit İstihbaratı’ndan güncellenen 6 Ekim 2025 ile risk önemli ölçüde arttı. Microsoft, Medusa fidye yazılımının bilinen bir bağlı kuruluşu olan Storm-1175 olarak izledikleri bir siber suç grubunun 11 Eylül 2025’ten itibaren aktif olarak hedeflenen organizasyonları hedefleyen gözlemlendiğini doğruladı.
Microsoft, bu çok aşamalı saldırı detaylandırırken, güvenlik açığı sömürüsünün komut enjeksiyonu, sistem keşfine, kalıcı erişim için RMM araçlarının kullanımına ve nihayetinde Medusa fidye yazılımlarının en az bir taviz verilen ortamda başarılı bir şekilde konuşlandırılmasına yol açtı. Saldırganlar ayrıca veri açılması için RCLone gibi veri aktarım araçları kullanılarak ve güvenli komut ve kontrol (C2) için CloudFlare tünelleri oluşturma kullanılarak gözlendi.
WatchTowr CEO’su ve kurucusu Benjamin Harris, “CVE-2025-10035’in Wild Wild sömürüsünün kanıtını doğruladıktan sadece haftalar sonra, Microsoft saldırıları şimdi bilinen bir Medusa fidye yazılımı bağlı kuruluşuyla ilişkilendirdi,” dedi. Harris, Goanywhere MFT’yi kullanan kuruluşların “en az 11 Eylül’den beri Fortra’dan çok az netlikle sessiz saldırı altında olduklarını” vurguladı.
Acil Eylem Gerekli
Fortra, müşterilere yamalı sürümlere yükseltmelerini acilen tavsiye etti: sürüm 7.8.4 veya sürdürme sürümü 7.6.3. Güvenlik açığının şiddetli doğası, CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklenmesine yol açmıştır.
Maruz kalan sistemlere sahip tüm kuruluşlar, gelecekteki saldırıları önlemek için yamayı hemen uygulamalıdır. Onaylanmış sömürü faaliyeti göz önüne alındığında, güncelleme uygulanmadan önce bir ilk uzlaşmanın meydana gelip gelmediğini belirlemek için maruz kalan sistemler için tam bir adli inceleme gereklidir.