La compañía de ciberseguridad WatchToWr Labs reveló el 10 de septiembre de 2025, una semana antes de su divulgación pública, que existe una «evidencia confiable» de la explotación agresiva de los defectos de seguridad revelados recientemente en Fortra Goany, donde el software de transferencia de archivos gestionado (MFT).
«Esto no es» solo «el defecto en CVSS 10.0, una solución que los grupos APT y los operadores de ransomware han preferido durante mucho tiempo. Esta es una vulnerabilidad que ha sido explotada activamente en la naturaleza desde al menos el 10 de septiembre de 2025», dijo Benjamin Harris a Hacker News.
La vulnerabilidad en cuestión es CVE-2025-10035, que se describe como una vulnerabilidad de decoloración en el servlet de licencia que puede dar lugar a la inyección de comandos sin autenticación. Fortra Goany, donde la versión 7.8.4, o sostenía la versión 7.6.3, fue lanzada por Fortra la semana pasada y solucionó un problema.
Según un análisis publicado a principios de esta semana por WatchToWr, la vulnerabilidad se relaciona con el hecho de que es posible enviar una solicitud de obtención de HTTP crutificado a «/goanywhere/license/license/unlicensed.xhtml/». Use el GUID integrado en respuesta a una solicitud de envío anterior: «/Goanywhere/Lic/Acept/».
Armado con este bypass de autenticación, un atacante puede aprovechar la protección insuficiente de desintervención del servlet de la licencia para causar inyección de comando. Dicho esto, cómo sucede exactamente esto es un misterio, destacó a los investigadores Sony McDonald y Piotri Basidolo.
El proveedor de ciberseguridad Rapid7, quien publicó sus hallazgos en CVE-2025-10035, dijo que no era una sola vulnerabilidad de desacoplamiento, sino una cadena separada de problemas,
El bypass de control de acceso, conocido desde 2023, es un problema desconocido relacionado con la insegura vulnerabilidad de vulnerabilidad CVE-2025-10035, y cómo los atacantes pueden conocer una clave privada particular
En un informe posterior publicado el jueves, WatchToWr dijo que recibió evidencia de esfuerzos de explotación, incluidas las trazas de pila que permiten la creación de cuentas de puerta trasera. La secuencia de actividades es:
Desencadene una vulnerabilidad previa a la autorenticación en Fortra Goany, donde MFT para lograr la ejecución de código remoto (RCE) utilizando RCE, cree un Goany donde el usuario llamado «Admin-GO» utilizando la cuenta recién creada para volver a vivir a los usuarios web para interactuar con la solución, y luego agregar carga útil de SimpleHelp y Uncation (Zato_Be.exe)
La compañía de ciberseguridad también dijo que la actividad de amenaza proviene de la dirección IP 155.2.190 (.) 197.
Dadas las indicaciones de explotación salvaje, es esencial que los usuarios se muevan rápidamente incluso si aún aplican soluciones. Hacker News contactó a Fortra para obtener comentarios y si escuchamos, actualizaremos la historia.
Source link
