Критическая уязвимость в License Servlet продукта GoAnywhere MFT, отслеживаемая как CVE-2025-10035, уже используется группировкой Storm-1175 для выполнения вымогательского ПО Medusa.
Уязвимость затрагивает версии GoAnywhere MFT до 7.8.3 включительно. Она расположена в административной консоли License Servlet, где злоумышленник может подделать подпись ответа лицензии и обойти механизмы проверки.
Злоумышленник получает возможность внедрять произвольные команды в процесс Java, что в конечном итоге приводит к полной удалённой эксплуатации (RCE) на системах, доступных из Интернета.
Успешная эксплуатация позволяет злоумышленникам:
Первичный доступ осуществляется через новую уязвимость десериализации ("deserialization flaw") в GoAnywhere MFT. После получения контроля злоумышленники размещают в каталоге службы GoAnywhere бинарные файлы RMM-инструментов — MeshAgent и SimpleHelp. Одновременно создаются вредоносные JSP-веб-шеллы для скрытого удалённого доступа.
На постэксплуатационном этапе атакующие выполняют команды PowerShell для сбора сведений о локальных пользователях, группах, доверительных отношениях домена и сетевых интерфейсах.
Каналы командного и управляющего трафика (C2) создаются через RMM-инструменты, часто с использованием туннелирования через Cloudflare, чтобы избежать обнаружения.
Экфильтрация данных осуществляется с помощью утилиты rclone, при этом похищенные файлы отправляются в облачные хранилища, контролируемые злоумышленниками.
На финальной стадии активируется вымогатель Medusa, который шифрует активы жертвы. Microsoft Defender классифицирует этот вредоносный код как Ransom:Win32/Medusa.
- Источник: https://cybersecuritynews.com/goanywhere-0-day-rce-medusa-ransomware/
Уязвимость затрагивает версии GoAnywhere MFT до 7.8.3 включительно. Она расположена в административной консоли License Servlet, где злоумышленник может подделать подпись ответа лицензии и обойти механизмы проверки.
Злоумышленник получает возможность внедрять произвольные команды в процесс Java, что в конечном итоге приводит к полной удалённой эксплуатации (RCE) на системах, доступных из Интернета.
CVE-2025-10035
Эксплуатация уязвимости не требует аутентификации, если злоумышленник создаёт или перехватывает корректно подписанную полезную нагрузку, что делает атаку чрезвычайно простой против незащищённых систем.Успешная эксплуатация позволяет злоумышленникам:
- выполнять перечисление систем и пользователей;
- обеспечивать долговременное присутствие в сети;
- развёртывать дополнительные инструменты для бокового перемещения и утечки данных.
Активная эксплуатация и действия Storm-1175
По данным Microsoft Threat Intelligence, активная эксплуатация ведётся группировкой Storm-1175, известной атаками на публичные веб-приложения.Первичный доступ осуществляется через новую уязвимость десериализации ("deserialization flaw") в GoAnywhere MFT. После получения контроля злоумышленники размещают в каталоге службы GoAnywhere бинарные файлы RMM-инструментов — MeshAgent и SimpleHelp. Одновременно создаются вредоносные JSP-веб-шеллы для скрытого удалённого доступа.
На постэксплуатационном этапе атакующие выполняют команды PowerShell для сбора сведений о локальных пользователях, группах, доверительных отношениях домена и сетевых интерфейсах.
Каналы командного и управляющего трафика (C2) создаются через RMM-инструменты, часто с использованием туннелирования через Cloudflare, чтобы избежать обнаружения.
Экфильтрация данных осуществляется с помощью утилиты rclone, при этом похищенные файлы отправляются в облачные хранилища, контролируемые злоумышленниками.
На финальной стадии активируется вымогатель Medusa, который шифрует активы жертвы. Microsoft Defender классифицирует этот вредоносный код как Ransom:Win32/Medusa.
| Параметр фактора риска | Подробности |
|---|---|
| Затронутые продукты | GoAnywhere MFT License Servlet Admin Console версий ниже 7.8.3 |
| Воздействие | Внедрение команд, приводящее к удалённому выполнению кода (RCE) |
| Условия эксплуатации | Подделанная или перехваченная подпись ответа лицензии |
| Оценка CVSS 3.1 | 10.0 (Критическая) |
- Источник: https://cybersecuritynews.com/goanywhere-0-day-rce-medusa-ransomware/