GoAnywhere, da Fortra, esteve sob ataque antes do patch

há 1 semana 9

Pesquisadores do WatchTowr Labs reportaram ataques ativos a uma vulnerabilidade de alta gravidade no sistema de gerenciamento de transferência de arquivos GoAnywhere MFT da Fortra. O problema é uma vulnerabilidade registrada com o código CVE-2025-10035 (CVSS 10.0), caracterizada como um erro de desserialização no componente License Servlet. A falha permitiu a injeção de comandos não autenticados, sendo explorada por meio de uma resposta de licença forjada que possuía uma assinatura válida.

A análise dos rastros de invasão revelou a tática utilizada pelos cibercriminosos: após explorar a falha, eles executaram comandos no servidor sem autorização, o que lhes permitiu criar uma conta de administrador oculta nomeada “admin-go”. Essa conta foi então usada para criar um usuário web com direitos de acesso legítimos, que subsequentemente baixou e iniciou componentes adicionais, como os arquivos “zato_be.exe” e “jwunst.exe”. O arquivo “jwunst.exe” é, na verdade, um binário legítimo do programa de administração remota SimpleHelp, mas foi utilizado para obter controle persistente sobre os sistemas comprometidos.

Os ataques foram confirmados por fontes confiáveis como tendo se iniciado em 10 de setembro, oito dias antes da notificação oficial da Fortra aos clientes, que ocorreu em 18 de setembro. A empresa ainda não comentou as descobertas da WatchTowr, nem especificou quando tomou ciência da exploração. A Fortra lançou correções nas versões 7.8.4 e 7.6.3 e aconselha veementemente os usuários a atualizar seus sistemas.

A Fortra, que produz o software vulnerável, não divulgou como obteve a informação ou se já estava ciente dos ataques antes do alerta. O principal motivo apontado pelos pesquisadores para a divulgação dessas informações é a necessidade de mudar a avaliação de risco, reconhecendo que os invasores frequentemente exploram falhas de segurança muito antes da emissão de alertas de segurança.

Ler artigo completo