La compañía de seguridad cibernética WatchToWr Labs ha revelado que tiene «evidencia creíble» de la explotación activa de la falla de seguridad recientemente divulgada en el software de transferencia de archivos gestionado (MFT) de Fortra Goany en el 10 de septiembre de 2025, una semana completa antes de que se divulgue públicamente.
«Este no es 'solo' un defecto CVSS 10.0 en una solución favorecida durante mucho tiempo por grupos aptos y operadores de ransomware: es una vulnerabilidad que se ha explotado activamente en la naturaleza desde al menos el 10 de septiembre de 2025», Benjamin Harris, CEO y fundador de Watchtowr, contó The Hacker News.
La vulnerabilidad en cuestión es CVE-2025-10035que se ha descrito como una vulnerabilidad de deserialización en el servlet de licencia que podría resultar en la inyección de comandos sin autenticación. Fortra GoanyWhere Versión 7.8.4, o la versión 7.6.3 del sostenimiento, fue lanzado por Fortra la semana pasada para remediar el problema.
Según un análisis Lanzado por WatchToWr a principios de esta semana, la vulnerabilidad tiene que ver con el hecho de que es posible enviar una solicitud HTTP diseñada al «/goanywhere/license/unlicensed.xhtml/» Endpoint para interactuar directamente con el servlet de la licencia («com.linoma.ga.ui.admin.ervlet.licenseresseservlet») que está expuesta a «
Armado con este bypass de autenticación, un atacante puede aprovechar las protecciones de deserialización inadecuadas en el servlet de licencia para dar como resultado la inyección de comandos. Dicho esto, exactamente cómo ocurre esto es una especie de misterio, los investigadores Sonny MacDonald y Piotry Bazydlo señalaron.
Proveedor de ciberseguridad Rapid7, que también liberado Sus hallazgos en CVE-2025-10035 dijeron que no es una sola vulnerabilidad de deserialización, sino más bien una cadena de tres problemas separados,
- Un bypass de control de acceso que se conoce desde 2023
- La insegura vulnerabilidad de la deserialización CVE-2025-10035, y
- Un problema aún desconocido relacionado con cómo los atacantes pueden conocer una clave privada específica
En un informe posterior publicado El jueves, WatchToWr dijo que recibió evidencia de esfuerzos de explotación, incluido un rastro de pila, que permite la creación de una cuenta de puerta trasera. La secuencia de la actividad es la siguiente –
- Activando la vulnerabilidad previa a la autorización en Fortra Goanywhere Mft para lograr la ejecución de código remoto (RCE)
- Usando el RCE para crear un usuario de Goanywhere llamado «Admin-go»
- Uso de la cuenta recién creada para crear un usuario web
- Aprovechar al usuario web para que interactúe con la solución y cargue y ejecute cargas útiles adicionales, incluida SimpleHelp y un implante desconocido («zato_be.exe»)
La compañía de ciberseguridad también dijo que la actividad del actor de amenaza se originó en la dirección IP 155.2.190[.]197que, según Virustaha sido marcado para realizar ataques de fuerza bruta dirigida a los electrodomésticos VPN Fortinet FortiGate a principios de agosto de 2025. Sin embargo, WatchToWr dijo a Hacker News que no ha observado ninguna actividad de la dirección IP contra sus honeypots.
Dados los signos de explotación en el flujo, es imperativo que los usuarios se muevan rápidamente para aplicar las correcciones, si no es así. Hacker News se ha comunicado con Fortra para hacer comentarios, y actualizaremos la historia si recibimos noticias.
Fuente