Fortra admite exploração ativa de falha crítica no GoAnywhere MFT

13 de Outubro de 2025

Na quinta-feira, a Fortra divulgou os resultados de sua investigação sobre a CVE-2025-10035 , uma vulnerabilidade crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025.

A empresa iniciou a apuração no mesmo dia, após um cliente reportar uma “potencial vulnerabilidade”.

Durante a investigação, foram identificadas atividades “potencialmente suspeitas” relacionadas ao problema.

Ainda em 11 de setembro, a Fortra entrou em contato com clientes que utilizam o GoAnywhere on-premises e tinham o console administrativo exposto à internet, além de notificar as autoridades policiais sobre o incidente.

No dia seguinte, foi disponibilizado um hotfix para as versões 7.6.x, 7.7.x e 7.8.x do software.

As versões completas com o patch — 7.6.3 e 7.8.4 — foram lançadas em 15 de setembro.

A CVE referente à falha foi publicada oficialmente três dias depois.

Segundo a Fortra, “o risco desta vulnerabilidade está limitado a clientes com o console administrativo exposto à internet pública”.

Outros componentes web da arquitetura GoAnywhere não são afetados.

Apesar disso, a empresa confirmou um “número limitado de relatos” de atividades não autorizadas relacionadas à CVE-2025-10035 .

Como medidas adicionais, recomenda restringir o acesso ao console administrativo via internet, habilitar monitoramento constante e manter o software sempre atualizado.

A CVE-2025-10035 refere-se a uma vulnerabilidade de deserialização no License Servlet, que pode permitir a injeção de comandos sem autenticação.

Em relatório publicado esta semana, a Microsoft revelou que um grupo de ameaças identificado como Storm-1175 vem explorando essa falha desde 11 de setembro para disseminar o ransomware Medusa.

No entanto, ainda não há esclarecimentos sobre como os atacantes conseguiram obter as chaves privadas necessárias para explorar a vulnerabilidade.

“O fato de a Fortra ter confirmado agora a existência de ‘atividade não autorizada relacionada à CVE-2025-10035 ’ mostra, mais uma vez, que essa falha não era apenas teórica, e que os invasores, de algum modo, conseguiram superar ou cumprir os requisitos criptográficos para realizar a exploração”, comentou Benjamin Harris, CEO e fundador da watchTowr.

Gostou deste artigo? Siga-nos no Google News, Twitter e LinkedIn para ter acesso a conteúdos exclusivos.

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...