Fortra reveló el jueves los resultados de su investigación sobre CVE-2025-10035, una rotura de seguridad crítica en GoAnywhere Managed File Transfer (MFT) que se estima que ha estado bajo explotación activa desde al menos el 11 de septiembre de 2025.
La compañía dijo que comenzó su investigación el 11 de septiembre luego de una “vulnerabilidad potencial” reportada por un cliente, descubriendo “actividad potencialmente sospechosa” relacionada con la rotura.
Ese mismo día, Fortra dijo que se comunicó con clientes locales que fueron identificados por tener su consola de despacho GoAnywhere accesible a la Internet pública y que notificó a las autoridades policiales sobre el incidente.
Al día ulterior estuvo adecuado una revisión para las versiones 7.6.x, 7.7.x y 7.8.x del software, y las versiones completas que incorporan el parche (versiones 7.6.3 y 7.8.4) estuvieron disponibles el 15 de septiembre. Tres días posteriormente, se publicó formalmente un CVE para la vulnerabilidad, agregó.
“El ámbito del peligro de esta vulnerabilidad se limita a los clientes con una consola de despacho expuesta a la Internet pública”, dijo Fortra. “Otros componentes basados en web de la casa GoAnywhere no se ven afectados por esta vulnerabilidad”.
Sin requisa, admitió que existe un “número acotado de informes” de actividad no autorizada relacionada con CVE-2025-10035. Como mitigaciones adicionales, la compañía recomienda que los usuarios restrinjan el paso a la consola de despacho a través de Internet, encima de habilitar el monitoreo y sostener el software actualizado.
CVE-2025-10035 se refiere a un caso de vulnerabilidad de deserialización en el servlet de deshonestidad que podría provocar la inyección de comandos sin autenticación. En un crónica de principios de esta semana, Microsoft reveló que una amenaza que rastrea como Storm-1175 ha estado explotando la rotura desde el 11 de septiembre para implementar el ransomware Medusa.
Dicho esto, todavía no está claro cómo los actores de amenazas lograron obtener las claves privadas necesarias para explotar esta vulnerabilidad.
“El hecho de que Fortra haya optado ahora por confirmar (en sus palabras) ‘actividad no autorizada relacionada con CVE-2025-10035’ demuestra una vez más que la vulnerabilidad no era teórica y que el atacante de alguna forma eludió, o cumplió, los requisitos criptográficos necesarios para explotar esta vulnerabilidad”, dijo el CEO y fundador de watchTowr, Benjamin Harris.
