Fortra vào thứ Năm đã công bố kết quả điều tra về CVE-2025-10035, một lỗ hổng bảo mật nghiêm trọng trong GoAnywhere Managed File Transfer (MFT) được cho là đã bị khai thác tích cực kể từ ít nhất ngày 11 tháng 9 năm 2025.
Công ty cho biết họ đã bắt đầu điều tra vào ngày 11 tháng 9 sau khi một khách hàng báo cáo về một "lỗ hổng tiềm ẩn", qua đó phát hiện "hoạt động đáng ngờ tiềm tàng" liên quan đến lỗ hổng này.
Cùng ngày hôm đó, Fortra cho biết họ đã liên hệ với các khách hàng on-premises được xác định là có bảng điều khiển quản trị (admin console) của GoAnywhere có thể truy cập công khai qua internet và đã thông báo cho các cơ quan thực thi pháp luật về sự cố này.
Một bản hotfix cho các phiên bản 7.6.x, 7.7.x và 7.8.x của phần mềm đã được cung cấp vào ngày hôm sau, cùng với các bản phát hành đầy đủ tích hợp bản vá – phiên bản 7.6.3 và 7.8.4 – đã được cung cấp vào ngày 15 tháng 9. Ba ngày sau, một CVE cho lỗ hổng này đã chính thức được công bố, Fortra cho biết thêm.
"Phạm vi rủi ro của lỗ hổng này chỉ giới hạn ở những khách hàng có bảng điều khiển quản trị (admin console) bị lộ ra internet công cộng," Fortra cho biết. "Các thành phần dựa trên web khác của kiến trúc GoAnywhere không bị ảnh hưởng bởi lỗ hổng này."
Tuy nhiên, Fortra thừa nhận rằng có "một số lượng hạn chế các báo cáo" về hoạt động trái phép liên quan đến CVE-2025-10035. Để bổ sung các biện pháp giảm thiểu, công ty khuyến nghị người dùng hạn chế quyền truy cập bảng điều khiển quản trị (admin console) qua internet, cũng như bật tính năng giám sát và giữ phần mềm luôn được cập nhật.
CVE-2025-10035 liên quan đến một trường hợp lỗ hổng deserialization trong License Servlet có thể dẫn đến command injection mà không cần xác thực. Trong một báo cáo đầu tuần này, Microsoft tiết lộ rằng một mối đe dọa mà họ theo dõi dưới tên Storm-1175 đã khai thác lỗ hổng này từ ngày 11 tháng 9 để triển khai Medusa ransomware.
Tuy nhiên, vẫn chưa rõ ràng về cách các tác nhân đe dọa đã có thể lấy được các khóa riêng tư cần thiết để khai thác lỗ hổng này.
"Việc Fortra hiện đã chọn xác nhận (theo lời của họ) 'unauthorized activity related to CVE-2025-10035' một lần nữa chứng minh rằng lỗ hổng này không phải là lý thuyết và kẻ tấn công bằng cách nào đó đã vượt qua, hoặc đáp ứng, các yêu cầu mật mã cần thiết để khai thác lỗ hổng này," Benjamin Harris, CEO và người sáng lập watchTowr, cho biết.
