La compañía de seguridad cibernética WatchToWr Labs ha revelado que tiene “evidencia verosímil” de la explotación activa de la equivocación de seguridad recientemente divulgada en el software de transferencia de archivos ventilado (MFT) de Fortra Goany en el 10 de septiembre de 2025, una semana completa antiguamente de que se divulgue públicamente.
“Este no es ‘solo’ un defecto CVSS 10.0 en una opción favorecida durante mucho tiempo por grupos aptos y operadores de ransomware: es una vulnerabilidad que se ha explotado activamente en la naturaleza desde al menos el 10 de septiembre de 2025”, Benjamin Harris, CEO y fundador de Watchtowr, contó The Hacker News.
La vulnerabilidad en cuestión es CVE-2025-10035, que se ha descrito como una vulnerabilidad de deserialización en el servlet de deshonestidad que podría dar punto a la inyección de comandos sin autenticación. Fortra GoanyWhere Interpretación 7.8.4, o la traducción 7.6.3 del sostenimiento, fue arrojado por Fortra la semana pasada para remediar el problema.
According to an analysis released by watchTowr earlier this week, the vulnerability has to do with the fact that it’s possible to send a crafted HTTP GET request to the “/goanywhere/license/Unlicensed.xhtml/” endpoint to directly interact with the License Servlet (“com.linoma.ga.ui.admin.servlet.LicenseResponseServlet”) that’s exposed at “/Goanywhere/Lic/Acept/
Armado con este bypass de autenticación, un atacante puede rendir las protecciones de deserialización inadecuadas en el servlet de deshonestidad para dar como resultado la inyección de comandos. Dicho esto, exactamente cómo ocurre esto es una especie de ocultación, los investigadores Sonny MacDonald y Piotry Bazydlo señalaron.
El proveedor de ciberseguridad Rapid7, que incluso lanzó sus hallazgos a CVE-2025-10035, dijo que no es una sola vulnerabilidad de deserialización, sino más adecuadamente una dependencia de tres problemas separados,
- Un bypass de control de golpe que se conoce desde 2023
- La insegura vulnerabilidad de la deserialización CVE-2025-10035, y
- Un problema aún desconocido relacionado con cómo los atacantes pueden conocer una esencia privada específica
En un crónica posterior publicado el jueves, WatchToWr dijo que recibió evidencia de esfuerzos de explotación, incluida una pista de pila que permite la creación de una cuenta de puerta trasera. La secuencia de la actividad es la venidero –
- Activando la vulnerabilidad previa a la autorización en Fortra Goanywhere Mft para conquistar la ejecución de código remoto (RCE)
- Usando el RCE para crear un legatario de Goanywhere llamado “Admin-go”
- Uso de la cuenta recién creada para crear un legatario web
- Usar al legatario web para que interactúe con la opción y cargue y ejecute cargas efectos adicionales, incluida SimpleHelp y un implante desconocido (“zato_be.exe”)
La compañía de ciberseguridad incluso dijo que la actividad del actor de amenaza se originó en la dirección IP 155.2.190 (.) 197, que, según Virustotal, ha sido marcada para realizar ataques de fuerza bruta dirigida a los electrodomésticos Fortinet FortiGate SSL VPN.
Dados los signos de explotación en el flujo, es imperativo que los usuarios se muevan rápidamente para aplicar las correcciones, si no es así. Hacker News se ha comunicado con Fortra para hacer comentarios, y actualizaremos la historia si recibimos noticiario.
