Fortra Goany Where tarafından yönetilen dosya aktarım çözümünde mükemmel bir CVSS 10.0 güvenlik açığı olan CVE-2025-10035, yama 15 Eylül 2025’te piyasaya sürülmeden önce sıfır gün saldırılarında kullanıldı.
Wild sömürünün kanıtı ortaya çıktı
18 Eylül’de Fortra, Goanywhere kullanıcılarını, çözümün lisans sunucusunda, “geçerli bir dövme lisans müdahale imzasına sahip bir aktörün, muhtemelen komuta enjeksiyonuna yol açan, muhtemelen komuta en uygun bir nesneyi düzenli bir şekilde dövülmüş bir lisans müdahale imzasına sahip bir aktöre izin veren” sürüm 7.8.4 veya v7.6.3’e (sürdürme sürümü) yükseltmeye çağırdı.
Fortra’nın belirli bir günlük dizesini “bir örneğin bu güvenlik açığından etkilendiğinin” kanıtı olarak paylaştığını tuhaf buldular, Watchtowr araştırmacıları kusur ve düzeltmeyi kendileri araştırmaya karar verdiler.
Analizlerini halka açık hale getirdikten ve Fortra’nın, düzeltmeyi yayınladıktan kısa bir süre sonra güvenlik açığının aktif olarak sömürüldüğünü bildiğine dair inançlarını paylaştıktan sonra, 10 Eylül 2025’e kadar CVE-2025-10035’in vahşice sömürülmesinin “güvenilir kanıtlarını” paylaşan bir kişi tarafından temasa geçildi.
Watchtowr araştırmacıları, “Bu, Fortra’nın 18 Eylül 2025 yayınlanmasından sekiz gün önce” dedi. “Bu, Fortra’nın neden daha sonra Limited IOC’leri yayınlamaya karar verdiğini açıklıyor ve şimdi savunucuları zaman çizelgeleri ve risk hakkında düşünme şeklini hemen değiştirmeye çağırıyoruz.”
Aynı zamanda, Rapid7 araştırmacıları da kusuru ve düzeltmeyi analiz ettiler ve sorunun sadece tek bir fasili güvenlik açığı değil, aynı zamanda şunları içeren bir zincir olduğu sonucuna varmıştır.
- 2023’ten beri bilinen bir erişim kontrolü baypas kusuru
- Güvenli olmayan seansizasyon güvenlik açığı (CVE-2025-10035) ve
- Saldırganların bir lisans müdahalesi imzasını oluşturmak için belirli bir özel anahtarı bilmelerini (ve kullanmasına) izin veren hala belirsiz bir sorun
Müşteriler için cevaplanmamış sorular ve tavsiyeler
Hem Rapid7 hem de WatchTowr araştırmacıları, saldırganların bu özel anahtar üzerinde nasıl ellerini aldıklarına dair spekülasyon yaptılar, ancak müşteriler için şimdi önemli olan, WatchTowr tarafından paylaşılan uzlaşma göstergeleri için kurulumlarını ve altta yatan sistemlerini kontrol etmektir.
Araştırmacılara göre, savunmasızlığı tetikledikten ve savunmasız goanywhere mft örneklerinde uzaktan kod yürütülmesi sağladıktan sonra, saldırganlar adlı bir yönetici hesabı oluşturdu yönetici Bu etkili bir şekilde arka kapı görevi görür.
Bu hesapla bir web kullanıcısı oluşturdular ve bu kullanıcı aracılığıyla bilinmeyen bir ikinci aşama implantı ve bir SimpleHelp (uzaktan destek yazılımı) ikili yüklediler.
Uzlaşma kanıtı bulan kullanıcılar, ihlalin tam kapsamını keşfetmek için daha fazla araştırma yapmalıdır. Ancak kanıt bulsun ya da bulmasalar da, yine de sabit bir versiyona mümkün olan en kısa sürede yükseltmelidirler.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!