CVE-2025-10035

Fortra GoAnywhere MFT

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-09-29

Официальное описание

Fortra GoAnywhere MFT contains a deserialization of untrusted data vulnerability allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-10035 в Fortra GoAnywhere MFT связана с небезопасной десериализацией недоверенных данных.

  • Механизм: Злоумышленник, способный подделать валидную подпись ответа на запрос лицензии (license response signature), может передать специально сформированный сериализованный объект в приложение.
  • Проблема: Приложение десериализует этот объект без должной проверки его содержимого и безопасности.
  • Последствия: Это позволяет атакующему выполнить произвольный код (RCE — Remote Code Execution) или внедрить команды (Command Injection) в контексте операционной системы с правами пользователя, от имени которого запущен сервис GoAnywhere MFT. Это может привести к полной компрометации сервера, краже конфиденциальных данных и дальнейшему продвижению по сети.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление продукта до версии, в которой вендор (Fortra) выпустил официальный патч, закрывающий возможность небезопасной десериализации в механизме проверки лицензий.

  1. Создайте полную резервную копию директории установки GoAnywhere MFT и базы данных перед началом работ. Пример для Linux:
tar -czvf /backup/goanywhere_backup.tar.gz /opt/HelpSystems/GoAnywhere
  1. Авторизуйтесь на клиентском портале Fortra и скачайте последний пакет обновления (Upgrade Package), содержащий исправление для CVE-2025-10035.
  2. Остановите службу GoAnywhere MFT. Пример для Linux:
systemctl stop goanywhere
  1. Примените скачанный патч согласно официальной документации Fortra (обычно это запуск исполняемого файла обновления или скрипта).
  2. Запустите службу GoAnywhere MFT:
systemctl start goanywhere
  1. Проверьте логи приложения (обычно находятся в [Install_Dir]/userdata/logs/), чтобы убедиться в отсутствии ошибок при запуске и успешном применении обновления.

Временные меры

Если немедленное обновление невозможно, необходимо применить компенсирующие меры для снижения риска эксплуатации. Поскольку вектор атаки связан с обработкой лицензий, основной упор делается на изоляцию административных интерфейсов.

  • Ограничение сетевого доступа к административному порталу: Убедитесь, что порты административного интерфейса (по умолчанию 8000/HTTP и 8001/HTTPS) недоступны из сети Интернет и открыты только для доверенных IP-адресов администраторов. Пример ограничения через iptables (замените IP на ваш доверенный):
iptables -A INPUT -p tcp --dport 8001 -s 192.168.100.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8001 -j DROP
  • Настройка Web Application Firewall (WAF): Внедрите правила WAF для блокировки запросов, содержащих магические байты сериализованных объектов Java (например, ac ed 00 05 в шестнадцатеричном формате или rO0AB в Base64), направленных к эндпоинтам проверки лицензий.
  • Мониторинг и алертинг (EDR/SIEM): Настройте правила обнаружения на создание подозрительных дочерних процессов (например, cmd.exe, powershell.exe, bash, sh, curl, wget) от родительского процесса Java, запускающего GoAnywhere MFT.
  • Отзыв скомпрометированных ключей: Если есть подозрение, что ключи подписи лицензий могли быть скомпрометированы, свяжитесь с поддержкой Fortra для их ротации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей