Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias CVE-2025-10035: vulnerabilidad crítica en GoAnywhere MFT
Noticias

CVE-2025-10035: vulnerabilidad crítica en GoAnywhere MFT

por Dragora
Escrito por Dragora

La empresa de ciberseguridad Fortra ha confirmado la explotación activa de una vulnerabilidad crítica en su popular software GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035.
La falla, de tipo deserialización insegura, permite la inyección de comandos sin autenticación y ha sido aprovechada por actores de amenazas desde al menos el 11 de septiembre de 2025, según la investigación publicada oficialmente por la compañía.

El descubrimiento ha encendido las alarmas en la comunidad de ciberseguridad global, ya que el grupo de amenazas Storm-1175 —asociado con el despliegue del ransomware Medusa— ha estado explotando activamente la vulnerabilidad para comprometer sistemas expuestos a Internet.

Investigación y respuesta inicial de Fortra

Fortra informó que inició su investigación el 11 de septiembre de 2025, luego de recibir una notificación de un cliente que reportó una “vulnerabilidad potencial” en su instancia de GoAnywhere MFT.
Durante el análisis, los expertos de la compañía detectaron actividad sospechosa asociada con la falla y alertaron de inmediato a los clientes cuyas consolas de administración estaban expuestas públicamente en la red.

Ese mismo día, Fortra también notificó a las autoridades policiales y comenzó el desarrollo de una actualización correctiva.
El 12 de septiembre, se publicó una revisión temporal para las versiones 7.6.x, 7.7.x y 7.8.x del software, y las versiones completas corregidas7.6.3 y 7.8.4— fueron lanzadas el 15 de septiembre de 2025.
Pocos días después, la vulnerabilidad fue oficialmente registrada bajo el identificador CVE-2025-10035.

La compañía aclaró que el riesgo está limitado a los clientes con la consola de administración accesible desde Internet, y que otros componentes basados en la web de GoAnywhere no se ven afectados.
Sin embargo, reconoció la existencia de un “número limitado de informes de actividad no autorizada” vinculados a esta falla, confirmando así que los ataques no son teóricos, sino reales y en curso.

Naturaleza técnica de CVE-2025-10035

Según los detalles técnicos publicados por Fortra, CVE-2025-10035 corresponde a una vulnerabilidad de deserialización en el servlet de licencia del software GoAnywhere MFT.
La falla puede ser explotada por un atacante remoto no autenticado para inyectar y ejecutar comandos arbitrarios en el sistema afectado, lo que abre la puerta a una toma de control completa del servidor y la instalación de malware o ransomware.

El vector de ataque depende de la exposición directa de la consola de administración del MFT a Internet, una práctica que muchos administradores mantienen para facilitar el acceso remoto, pero que incrementa significativamente el riesgo de explotación.

Fortra recomienda a todos los clientes restringir el acceso externo a la consola de administración, habilitar monitoreo activo del tráfico, revisar los registros de auditoría y mantener el software actualizado con las últimas versiones publicadas.

Storm-1175 y la explotación de la falla para distribuir ransomware

En un informe independiente, Microsoft Threat Intelligence reveló que el grupo de amenazas Storm-1175 ha estado utilizando esta vulnerabilidad para implementar el ransomware Medusa desde el mismo día en que Fortra detectó la actividad anómala: 11 de septiembre de 2025.

El ransomware Medusa es conocido por su doble esquema de extorsión, donde los atacantes no solo cifran los archivos de la víctima, sino que también roban datos sensibles para amenazar con su publicación si no se paga el rescate.
Esto posiciona a CVE-2025-10035 como una vía de ataque crítica para grupos criminales con motivación económica.

Lo más preocupante, según los expertos, es que aún no está claro cómo los atacantes obtuvieron las claves privadas necesarias para explotar la vulnerabilidad.
Este detalle sugiere que los cibercriminales han encontrado una forma de eludir los mecanismos criptográficos de protección integrados en el producto.

Reacción del ecosistema de ciberseguridad

La confirmación de Fortra ha generado reacciones inmediatas en la comunidad de seguridad.
El CEO y fundador de watchTowr, Benjamin Harris, destacó que el hecho de que la compañía haya reconocido oficialmente “actividad no autorizada relacionada con CVE-2025-10035” demuestra que la vulnerabilidad era explotable en entornos reales, y que los atacantes han superado las barreras criptográficas requeridas para ejecutar el ataque.

“Esto confirma que no estamos ante un fallo teórico, sino ante una vulnerabilidad activa que los actores de amenazas han sabido aprovechar con éxito”, subrayó Harris, calificando el incidente como “otro recordatorio de los riesgos inherentes a las aplicaciones expuestas públicamente”.

Por su parte, analistas de seguridad advierten que el ataque recuerda a los incidentes masivos de 2023, cuando el mismo producto GoAnywhere MFT fue explotado por el grupo Cl0p en una campaña de ransomware que afectó a más de 130 organizaciones en todo el mundo, entre ellas entidades financieras, hospitales y agencias gubernamentales.

Mitigación y recomendaciones de seguridad

Para prevenir futuras explotaciones de CVE-2025-10035, Fortra y los expertos en ciberseguridad recomiendan las siguientes medidas:

  1. Actualizar inmediatamente GoAnywhere MFT a las versiones 7.6.3 o 7.8.4, que contienen el parche de seguridad.

  2. Deshabilitar el acceso público a la consola de administración y limitarlo únicamente a redes internas o VPN seguras.

  3. Implementar autenticación multifactor (MFA) y restringir el acceso por IP o segmento de red.

  4. Revisar los registros de auditoría y actividad en busca de ejecuciones sospechosas o intentos de conexión no autorizados.

  5. Monitorear activamente los endpoints y servidores con soluciones EDR (Endpoint Detection and Response).

  6. Establecer planes de respuesta a incidentes y copias de seguridad desconectadas para mitigar el impacto de posibles ataques de ransomware.

En fin…

La vulnerabilidad CVE-2025-10035 en GoAnywhere MFT pone de manifiesto los riesgos crecientes asociados con la exposición pública de aplicaciones críticas en Internet y la explotación rápida de fallas por parte de grupos de ransomware.
El hecho de que la explotación activa comenzara el mismo día en que se descubrió el problema subraya la velocidad y coordinación de los atacantes.

Con el ransomware Medusa ahora implicado en la campaña, y los indicios de que los atacantes han logrado sortear medidas criptográficas avanzadas, las organizaciones deben actuar con urgencia para proteger sus sistemas, aplicar los parches disponibles y fortalecer su superficie de ataque.

En un panorama de amenazas cada vez más sofisticado, la ciberresiliencia y la gestión proactiva de vulnerabilidades se convierten en la diferencia entre prevenir un incidente y sufrir una brecha catastrófica.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!