Fortraは、GoAnywhere MFTのLicense Servletに存在する、コマンドインジェクション攻撃に悪用される可能性のある最大深刻度の脆弱性を修正するセキュリティアップデートをリリースしました。
GoAnywhere MFTは、Webベースのマネージドファイル転送ツールで、組織が安全にファイルを転送し、共有ファイルにアクセスした人の監査ログを維持するのに役立ちます。
CVE-2025-10035として追跡されているこのセキュリティ上の欠陥は、信頼されていないデータのデシリアライズの弱点に起因するもので、ユーザーの操作を必要としない複雑度の低い攻撃でリモートから悪用される可能性があります。Fortra社は、この脆弱性が週末に発見されたと述べているが、誰が報告したのか、またこの欠陥が攻撃に悪用されたかどうかは明らかにしていない。
「FortraのGoAnywhere MFTのLicense Servletにデシリアライゼーションの脆弱性があり、有効な偽造ライセンス応答署名を持つ行為者が、任意の行為者が制御するオブジェクトをデシリアライズすることが可能で、コマンドインジェクションにつながる可能性がある」と、同社は木曜日に発表したセキュリティアドバイザリーで述べている。
「2025年9月11日に実施されたセキュリティチェックにおいて、インターネット経由でアクセス可能な管理コンソールを持つGoAnywhereの顧客は、第三者による不正な暴露に対して脆弱である可能性があることを確認しました。「当社は直ちにパッチを開発し、この問題を解決するための緩和ガイダンスをお客様に提供しました。お客様は直ちに設定を見直し、管理コンソールからのパブリックアクセスを削除してください。
同社は、CVE-2025-10035のパッチを含むGoAnywhere MFT 7.8.4およびSustain Release 7.6.3をリリースし、すぐにソフトウェアをアップグレードできないIT管理者に対しては、GoAnywhere Admin Consoleがインターネット経由でアクセスできないようにすることで、脆弱なシステムを保護するよう助言している。
「この脆弱性の悪用は、システムがインターネットに外部に露出していることに大きく依存している」とFortra氏は付け加えた。
非営利団体Shadowserver Foundationのセキュリティ・アナリストは、470以上のGoAnywhere MFTインスタンスを監視している。しかし、これらのうち何台がすでにパッチを適用済みなのか、あるいは管理コンソールがオンラインで公開されているのかは不明だ。
CVE-2025-10035はまだ積極的に悪用されるようなタグは付けられていませんが、脅威行為者は、セキュアなファイル転送ソリューション(GoAnywhere MFTなど)が機密文書の共有に使用されることが多いため、魅力的なターゲットであると考えているため、管理者はGoAnywhere MFTインスタンスにパッチを適用することをお勧めします。
たとえば、ランサムウェア集団Clopは、ゼロデイ攻撃でGoAnywhere MFTソフトウェアの重大なリモートコード実行の欠陥(CVE-2023-0669)を悪用して、2年前に130以上の組織に侵入したと主張しています。
GoAnywhere MFTと広く悪用されているCobalt Strike脅威エミュレーションツールを開発したサイバーセキュリティ企業であるFortra(旧HelpSystems)は、世界中で9,000以上の組織にソフトウェアとサービスを提供していると述べています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments