![Microsoft potwierdza wykorzystanie zero-day CVE-2025-10035 w GoAnywhere MFT przez hakerów z max oceną zagrożenia 10.0 [1]](https://www.europesays.com/pl/wp-content/uploads/2025/10/09_microsoft_potwierdza_wykorzystanie_zero_day_cve_2025_10035_w_goanywhere_mft_przez_hakerow_z_max_o.jpeg)
Współczesne przedsiębiorstwa polegają na bezpiecznej wymianie danych, używając do tego specjalistycznych narzędzi. Niestety, oprogramowanie do zarządzanego transferu plików (MFT) coraz częściej staje się celem cyberprzestępców. Odkrycie w nim luki typu zero-day, czyli takiej, na którą nie ma jeszcze oficjalnej poprawki, może prowadzić do katastrofalnych skutków. Atakujący zyskują w ten sposób cenną przewagę, mogąc infiltrować sieci i kraść wrażliwe dane.
Krytyczna luka CVE-2025-10035 w GoAnywhere MFT umożliwia hakerom przejęcie serwerów. CISA ostrzega, a Microsoft potwierdza aktywne ataki.
![Microsoft potwierdza wykorzystanie zero-day CVE-2025-10035 w GoAnywhere MFT przez hakerów z max oceną zagrożenia 10.0 [1]](https://www.purepc.pl/image/news/2025/10/09_microsoft_potwierdza_wykorzystanie_zero_day_cve_2025_10035_w_goanywhere_mft_przez_hakerow_z_max_ocena_zagrozenia_10_0_1_b.jpg)
Microsoft Threat Intelligence potwierdziło aktywne wykorzystanie krytycznej podatności CVE-2025-10035 w oprogramowaniu Fortra GoAnywhere Managed File Transfer przez grupę cyberprzestępców Storm-1175. Luka otrzymała maksymalną ocenę zagrożenia 10.0 w skali CVSS i umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Hakerzy wykorzystują ją do rozsiewania ransomware Medusa, szyfrując dane organizacji na całym świecie. Podatność dotyczy mechanizmu walidacji licencji w License Servlet i pozwala napastnikom na sfałszowanie złośliwej odpowiedzi licencyjnej. W rezultacie system wykonuje nieautoryzowane polecenia systemowe, co może prowadzić do przejęcia pełnej kontroli nad infrastrukturą IT. Problem wynika z nieprawidłowej deserializacji danych wejściowych, gdzie aplikacja ślepo przetwarza serializowane informacje bez ich walidacji.
![Microsoft potwierdza wykorzystanie zero-day CVE-2025-10035 w GoAnywhere MFT przez hakerów z max oceną zagrożenia 10.0 [2]](https://www.purepc.pl/image/news/2025/10/09_microsoft_potwierdza_wykorzystanie_zero_day_cve_2025_10035_w_goanywhere_mft_przez_hakerow_z_max_ocena_zagrozenia_10_0_0_b.jpg)
Pierwsza aktywność wykorzystania tej luki została wykryta 11 września 2025 roku, co oznacza że hakerzy mieli dostęp do zero-day przez tydzień przed ujawnieniem podatności, które nastąpiło 18 września. Fortra wydało poprawki w wersjach GoAnywhere MFT 7.8.4 oraz Sustain Release 7.6.3, jednak wiele organizacji pozostaje narażonych na ataki. Cybersecurity and Infrastructure Security Agency dodał CVE-2025-10035 do katalogu Known Exploited Vulnerabilities 29 września. Storm-1175 to chińska grupa cyberprzestępcza, która znana jest z używania ransomware Medusa oraz z atakowania publicznie dostępnych aplikacji. Po udanym wykorzystaniu luki napastnicy instalują narzędzia zdalnego monitorowania SimpleHelp i MeshAgent dla utrzymania dostępu. Następnie tworzą pliki JSP w katalogach GoAnywhere MFT i wykonują komendy rozpoznawcze sieci. Do komunikacji używają tuneli Cloudflare, a narzędzie Rclone służy im do wykradania danych przed zaszyfrowaniem ich przez ransomware Medusa.
Eksperci podkreślają tajemniczość tej podatności ze względu na wymaganie klucza prywatnego do jej wykorzystania. Analitycy Rapid7 i watchTowr Labs spekulują, że Fortra mogło przypadkowo udostępnić klucz prywatny lub został on skradziony przez cyberprzestępców. Najbardziej prawdopodobny scenariusz to kompromitacja systemów Fortra, w tym zdalnych serwerów licencyjnych, co dałoby napastnikom dostęp do wymaganego klucza prywatnego. Podobnie jak w przypadku wcześniejszych ataków na oprogramowanie do transferu plików, takie jak MOVEit w 2023 roku czy kampania Clop wykorzystująca CVE-2023-0669 w GoAnywhere, obecne ataki uderzają w krytyczną infrastrukturę przedsiębiorstw. GoAnywhere MFT jest wykorzystywane do bezpiecznego transferu wrażliwych danych finansowych, kadrowych i dokumentów prawnych, co sprawia, że jest atrakcyjnym celem dla grup ransomware. Storm-1175 kontynuuje wykorzystywanie aplikacji MFT w swoich atakach. Tego typu systemy stały się dla hakerów atrakcyjnym celem, ponieważ zapewniają dostęp do cennych danych firmowych.
Źródło: Microsoft Security Blog, CISA, NIST