This post is also available in: Português
O GoAnywhere MFT, solução de transferência gerenciada de arquivos desenvolvida pela Fortra, está no centro de uma nova campanha de ransomware que explora a vulnerabilidade CVE-2025-10035. Classificada com escore CVSS 10, a falha permite a execução de comandos arbitrários em sistemas afetados e já foi incluída no catálogo de vulnerabilidades exploradas ativamente da CISA.
Entendendo o GoAnywhere MFT e sua relevância no mercado
O GoAnywhere Managed File Transfer (MFT) é uma plataforma amplamente usada por organizações públicas e privadas para automatizar, criptografar e monitorar transferências de arquivos sensíveis. Desenvolvido pela Fortra, empresa antes conhecida como HelpSystems, reconhecida por suas soluções de segurança e automação corporativa, o produto é projetado para garantir conformidade com normas como HIPAA, GDPR e PCI DSS.
Por sua natureza crítica, o GoAnywhere MFT é frequentemente implantado em ambientes de alta confidencialidade, o que torna vulnerabilidades como a CVE-2025-10035 especialmente preocupantes.
Detalhes da vulnerabilidade CVE-2025-10035
A falha está localizada no License Servlet do GoAnywhere MFT e decorre de uma desserialização de dados não confiáveis. Em termos práticos, isso significa que um invasor pode enviar uma resposta de licença falsificada, mas validamente assinada, forçando o sistema a desserializar objetos arbitrários sob controle do agente malicioso. Esse processo pode resultar em injeção de comandos e, consequentemente, no comprometimento total do sistema.
A CISA descreveu o problema como uma vulnerabilidade de desserialização de dados não confiáveis que permite execução de código remoto (RCE), e emitiu orientação urgente para que administradores apliquem imediatamente as correções fornecidas pela Fortra ou interrompam o uso do produto caso a mitigação não seja possível.
Exploração ativa e campanhas de ransomware
Relatórios da Microsoft Threat Intelligence e de laboratórios de segurança como watchTowr e SOC Prime confirmam que a CVE-2025-10035 está sendo ativamente explorada em campanhas de ransomware, com evidências de invasores utilizando a vulnerabilidade para obter acesso inicial a redes corporativas.
Essa tática remete a incidentes anteriores envolvendo o mesmo produto, como a exploração da CVE-2023-0669, também usada pelo grupo Cl0p em ataques de larga escala em 2023. A reincidência demonstra que o GoAnywhere MFT continua sendo um vetor atraente para atores de ameaças devido à sua exposição em ambientes críticos e à possibilidade de movimentação lateral após o comprometimento.
Gravidade e impacto potencial
O escore CVSS de 10.0, o máximo possível na escala, reflete o potencial devastador da falha. A exploração bem-sucedida pode conceder acesso remoto sem autenticação, execução arbitrária de comandos e implantação de cargas maliciosas.
Dada a natureza do GoAnywhere MFT, um ataque bem-sucedido pode afetar cadeias de fornecimento inteiras, já que o produto é usado para integrar fluxos de dados entre organizações parceiras, fornecedores e clientes.
Mitigações e orientações recomendadas
A Fortra publicou o boletim de segurança FI-2025-012, orientando todos os clientes a aplicar as atualizações de segurança mais recentes e revogar qualquer certificado de licença potencialmente comprometido. A empresa também recomenda revisar logs de atividade para detectar tentativas de desserialização suspeitas e monitorar conexões incomuns originadas do License Servlet.
A CISA, por sua vez, reforçou a necessidade de seguir as diretrizes do Binding Operational Directive (BOD) 22-01, que orienta sobre vulnerabilidades em serviços de nuvem. Para organizações que não possam aplicar os patches de imediato, a agência orienta isolar o serviço GoAnywhere MFT da internet pública ou, em último caso, interromper temporariamente o uso até que uma correção seja implementada.
Manter o ambiente atualizado e seguir as melhores práticas de gestão de vulnerabilidades é essencial para reduzir o risco de exploração. A reincidência de ataques envolvendo o GoAnywhere reforça a importância de monitorar continuamente alertas de fornecedores e órgãos de cibersegurança.
This post is also available in: Português
