Im Lizenz-Servlet von GoAnywhere MFT, einem Dateitransfer-Werkzeug f\u00fcr Unternehmen, klafft eine kritische Sicherheitsl\u00fccke. Der Hersteller informierte Kunden vor einer Woche \u00fcber das Leck und stellte Patches bereit. Nun meldet ein Security-Unternehmen, dass wohl seit \u00fcber zwei Wochen Angriffsversuche laufen \u2013 das macht den Sicherheitsfehler zu einem „Zero Day“.<\/p>\n
In mehreren Schritten l\u00e4sst sich der Lizenzmanager von GoAnywhere MFT austricksen, um Schadcode des Angreifers auszuf\u00fchren \u2013 derlei Fehler in Deserialisierungsroutinen sind altbekannt, werden jedoch immer wieder in aktueller Software gefunden. Zuletzt hatte sich Microsoft Sharepoint mit einem \u00e4hnlichen Problem<\/a> hervorgetan. Jetzt hat es GoAnywhere MFT erneut erwischt: Die Sicherheitsl\u00fccke CVE-2025-10035 wird als kritisch eingestuft und hat eine CVSS-Wertung von 10 Punkten. Das bedeutet: Angreifer k\u00f6nnen ohne vorherige Anmeldung Schadcode auf dem Server ausf\u00fchren.<\/p>\n Fortra bringt Patches, andere haben n\u00fctzliche IOCs<\/p>\n Der Hersteller hat bereits Flicken f\u00fcr den Fehler herausgegeben und empfiehlt seinen Kunden<\/a> dringend, auf Version 7.8.4 oder die „Sustain Release“, also LTS-Version 7.6.3 zu aktualisieren. Zudem sollte die GoAnywhere Admin Console keinesfalls \u00fcber das Internet erreichbar sein. Als Indiz eines erfolgreichen Angriffs (Indicator of Compromise, IoC) liefert Fortra hingegen nur den Auszug eines Java-Stacktrace.<\/p>\n Andere sind da redefreudiger: Die Analysefirma WatchTowr Labs hat immerhin noch verd\u00e4chtige Dateinamen, eine IP-Adresse vom schwedischen VPN-Dienst Mullvad, das verd\u00e4chtige Konto „admin-go“ und ein paar von Angreifern ausgef\u00fchrte Kommandos parat, die Verteidigern bei der Suche nach ungebetenen G\u00e4sten helfen sollen. Die IoCs ver\u00f6ffentlichte das Unternehmen im zweiten Teil <\/a>einer detaillierten Analyse <\/a>der Sicherheitsl\u00fccke, die WatchTowr allerdings nicht komplett nachstellen konnte.<\/p>\n Es hat Angriffe gegeben<\/p>\n WatchTowr zeigt in der Analyse zudem Nachweise f\u00fcr erfolgreiche Angriffe, die bereits am 10. September 2025, mithin acht Tage vor der Sicherheitswarnung des Herstellers, stattgefunden h\u00e4tten. Fortra selber gibt an, die Sicherheitsl\u00fccke bei einer \u00dcberpr\u00fcfung am 11. September entdeckt und unmittelbar gehandelt zu haben.<\/p>\n In jedem Fall sollten Kunden, die GoAnywhere MFT einsetzen, die entsprechenden Server als kompromittiert betrachten und Gegenma\u00dfnahmen einleiten. Sie d\u00fcrften Kummer gewohnt sein: Vor zweieinhalb Jahren, im Februar 2023, f\u00fchrte eine Schwachstelle in GoAnywhere bereits zu einer umfangreichen Kampagne mit der cl0p-Ransomware<\/a>, die insgesamt \u00fcber 130 Firmen betroffen habe. Und auch die aktuelle Sicherheitsl\u00fccke d\u00fcrfte im Untergrund schnell waffenf\u00e4hig gemacht werden.<\/p>\n