Fortra reveló el jueves los resultados de su investigación sobre CVE-2025-10035, una falla de seguridad crítica en GoAnywhere Managed File Transfer (MFT) que se estima que ha estado bajo explotación activa desde al menos el 11 de septiembre de 2025.
La compañía dijo que comenzó su investigación el 11 de septiembre luego de una «vulnerabilidad potencial» reportada por un cliente, descubriendo «actividad potencialmente sospechosa» relacionada con la falla.
Ese mismo día, Fortra dijo que se comunicó con clientes locales que fueron identificados por tener su consola de administración GoAnywhere accesible a la Internet pública y que notificó a las autoridades policiales sobre el incidente.
Al día siguiente estuvo disponible una revisión para las versiones 7.6.x, 7.7.x y 7.8.x del software, y las versiones completas que incorporan el parche (versiones 7.6.3 y 7.8.4) estuvieron disponibles el 15 de septiembre. Tres días después, se publicó formalmente un CVE para la vulnerabilidad, agregó.
«El alcance del riesgo de esta vulnerabilidad se limita a los clientes con una consola de administración expuesta a la Internet pública», dijo Fortra. «Otros componentes basados en web de la arquitectura GoAnywhere no se ven afectados por esta vulnerabilidad».
Sin embargo, admitió que existe un «número limitado de informes» de actividad no autorizada relacionada con CVE-2025-10035. Como mitigaciones adicionales, la compañía recomienda que los usuarios restrinjan el acceso a la consola de administración a través de Internet, además de habilitar el monitoreo y mantener el software actualizado.
CVE-2025-10035 se refiere a un caso de vulnerabilidad de deserialización en el servlet de licencia que podría provocar la inyección de comandos sin autenticación. En un informe de principios de esta semana, Microsoft reveló que una amenaza que rastrea como Storm-1175 ha estado explotando la falla desde el 11 de septiembre para implementar el ransomware Medusa.
Dicho esto, todavía no está claro cómo los actores de amenazas lograron obtener las claves privadas necesarias para explotar esta vulnerabilidad.
«El hecho de que Fortra haya optado ahora por confirmar (en sus palabras) ‘actividad no autorizada relacionada con CVE-2025-10035’ demuestra una vez más que la vulnerabilidad no era teórica y que el atacante de alguna manera eludió, o cumplió, los requisitos criptográficos necesarios para explotar esta vulnerabilidad», dijo el CEO y fundador de watchTowr, Benjamin Harris.