サイバーニュース.jp

世界のサイバーなニュースを配信

GoAnywhereのゼロデイRCEがMedusaランサムウェア配布に悪用される

カテゴリ:

, , , , , , , , ,

概要

GoAnywhere MFTのライセンスサーブレットにおける重大なゼロデイ脆弱性が、Medusaランサムウェアの展開に積極的に悪用されています。2025年9月18日、FortraはCVSSスコア10.0の完璧な評価を受けた、このデシリアライゼーションの欠陥「CVE-2025-10035」に関するアドバイザリを公開しました。Storm-1175として追跡されている脅威アクターは、この脆弱性を悪用して公開されているシステム上でリモートコード実行(RCE)を獲得し、広範な侵害を引き起こしています。

脆弱性の詳細

CVE-2025-10035は、GoAnywhere MFTのバージョン7.8.3以前に存在します。この脆弱性により、攻撃者はライセンス応答署名を偽造し、署名検証をバイパスすることができます。細工された応答を送信することで、攻撃者は任意の、攻撃者によって制御されるオブジェクトのデシリアライゼーションをトリガーします。これにより、コマンドインジェクションと完全なRCEが可能になります。

この脆弱性は、有効な応答が作成または傍受された場合に認証なしで悪用できるため、インターネットに公開されているGoAnywhereの展開は深刻なリスクにさらされています。悪用が成功すると、攻撃者はシステムおよびユーザーの探索コマンドを実行し、ラテラルムーブメントのための追加ツールをインストールする能力を得ます。Fortraは、パッチが適用されたGoAnywhere MFTリリースへの即時アップデートと、ライセンス検証設定の見直しを強く推奨しています。また、ライセンスサーブレットへの異常なリクエストを監視し、早期に悪用を検出することも推奨されています。

Storm-1175による攻撃活動

Microsoft Threat Intelligenceは、2025年9月11日から活発な悪用が開始されたことを確認しました。Storm-1175のキャンペーンは、一貫した多段階のパターンに従っています。

  • 初期アクセス: ライセンスサーブレットのゼロデイデシリアライゼーション脆弱性の悪用によりRCEを獲得します。
  • 永続化: 攻撃者は、リモート監視および管理(RMM)ツール(SimpleHelpおよびMeshAgent)をGoAnywhereプロセスに直接ドロップし、アプリケーションディレクトリに.jspファイルを介してウェブシェルを展開します。
  • 探索: 脅威アクターは、whoamisysteminfonet userなどのコマンドを実行して環境をマッピングし、ネットワークスキャンツールを展開します。
  • ラテラルムーブメント: mstsc.exeを使用したRDPセッションがホスト間の移動を容易にします。
  • コマンド&コントロール: RMMツールは永続的な制御を確立し、多くの場合、Cloudflareトンネルを使用してトラフィックを保護します。
  • データ窃取: Rcloneを使用して、侵害されたネットワークからデータを収集し転送します。
  • ランサムウェアの展開: 最終的なペイロードであるMedusaランサムウェアがシステムを暗号化し、復号鍵の支払いを要求します。

緩和策と保護対策

この脅威から防御するために、組織はFortraのアドバイザリに従って、GoAnywhere MFTを最新のパッチ適用済みバージョンに直ちにアップグレードする必要があります。パッチ適用は以前の悪用を取り消すものではないため、侵害が疑われるシステムの徹底的な調査が不可欠です。

  • サーバーの外部インターネットアクセスを制限し、悪意のあるダウンロードやC2通信を防止します。
  • エンドポイント検出および応答(EDR)をブロックモードで展開し、悪意のあるアーティファクトがアンチウイルススキャンをバイパスしても阻止されるようにします。
  • 自動調査および修復を有効にし、アラートへの迅速な対応を可能にします。
  • 攻撃対象領域の縮小ルールを有効にし、ウェブシェル作成の防止や信頼メトリクスに基づく実行可能ファイルの起動制限など、一般的なランサムウェアの手法をブロックします。
  • 外部の攻撃対象領域管理ソリューションを使用して、パッチが適用されていないGoAnywhereインスタンスを検出します。
  • ライセンスサーブレットのトラフィックを継続的に監視し、疑わしい署名検証の失敗を検出します。
  • Microsoft Defenderの脆弱性管理およびXDR機能を活用し、脆弱なデバイスを検出し、悪用試行を警告し、環境全体での検出と対応を調整します。

迅速なパッチ適用、厳格なネットワーク制御、および高度なエンドポイントセキュリティを組み合わせることで、組織はこの高深刻度GoAnywhere MFT脆弱性によってもたらされるリスクを軽減し、Storm-1175のMedusaランサムウェアキャンペーンを阻止することができます。

元記事: https://gbhackers.com/goanywhere-0-day-rce-exploited-deliver-medusa-ransomware/

投稿をさらに読み込む