概要と緊急警告
Fortra社のGoAnywhere MFT製品において、認証なしでリモートコマンドインジェクションを可能にする最大深刻度の脆弱性(CVE-2025-10035)が、ゼロデイ攻撃として活発に悪用されていることが判明しました。ベンダーは9月18日にこの脆弱性を開示しましたが、実際にはその1週間前の9月10日には既に悪用が始まっていたと報じられています。
脆弱性の詳細
CVE-2025-10035は、GoAnywhere MFTのライセンスサーブレットに存在するデシリアライゼーションの脆弱性です。この脆弱性を悪用することで、攻撃者は「有効に偽造されたライセンス応答署名を持つアクター」としてコマンドを注入し、認証なしでリモートから任意のコードを実行することが可能になります。
WatchTowr Labsによる実態解明
Fortraの公式アドバイザリには悪用に関する情報が更新されていませんが、セキュリティ研究機関のWatchTowr Labsは、2025年9月10日以降にFortra GoAnywhere CVE-2025-10035がゼロデイとして悪用されたという「信頼できる証拠」を入手したと発表しました。WatchTowrの研究者らは、「これはFortraが後に限定的なIOC(侵害指標)を公開した理由を説明しており、私たちは今、防御者に対し、タイムラインとリスクに対する考え方を直ちに変えるよう強く求めている」と指摘しています。
攻撃の手口と痕跡
WatchTowrが分析したデータには、脆弱性悪用に関連するスタックトレースとバックドアアカウントの作成が含まれていました。具体的な攻撃の手口は以下の通りです。
- 認証前のデシリアライゼーション脆弱性を悪用してリモートコマンド実行を達成。
- 「admin-go」という名前のバックドア管理者アカウントを作成。
- このアカウントを使用してWebユーザーを作成し、「正当な」アクセスを可能にする。
- 「zato_be.exe」や「jwunst.exe」(リモートアクセス製品SimpleHelpの正規バイナリを悪用)といった複数のセカンダリペイロードをアップロードおよび実行。
- 攻撃者は「whoami/groups」コマンドを実行し、現在のユーザーアカウントとWindowsグループのメンバーシップを出力。その結果を「test.txt」というテキストファイルに保存し、外部に持ち出すことで、侵害されたアカウントの権限を確認し、侵害環境内でのラテラルムーブメントの機会を探っていた。
推奨される対策
CVE-2025-10035が活発に悪用されている現状を鑑み、GoAnywhere MFTのシステム管理者は、以下の対策を直ちに講じることが強く推奨されます。
- パッチが適用されたバージョンへのアップグレード:最新版の7.8.4、またはSustain Releaseの7.6.3へのアップグレードを推奨します。
- GoAnywhere管理コンソールのインターネット公開の停止:管理コンソールがパブリックインターネットに露出している場合は、直ちにその状態を解消してください。
- ログファイルの確認:ログファイルに「SignedObject.getObject」という文字列を含むエラーがないかを確認し、インスタンスが侵害されていないかを判断してください。