Vulnerabilità critica zero-day in Fortra GoAnywhere MFT: allarme sicurezza globale

GoAnywhere, allarme sicurezza globale. Vulnerabilità critica zero-day in Fortra MFT

Una nuova e pericolosa vulnerabilità, identificata come CVE-2025-10035, colpisce la piattaforma di trasferimento file Fortra GoAnywhere MFT, utilizzata a livello globale da aziende e istituzioni per gestire dati sensibili. L’attacco può avvenire anche senza autenticazione sfruttando una falla nella gestione della licenza, aprendo la porta a potenziali esecuzioni remote di codice malevolo. Aggiorna subito il sistema all’ultima versione e limita l’accesso pubblico alla console amministrativa: queste sono le azioni immediate e fondamentali per proteggere i tuoi dati da attacchi informatici gravi.

Che cos’è GoAnywhere MFT e perché è sotto attacco?

Fortra GoAnywhere MFT è una soluzione enterprise per il trasferimento sicuro di file che molte organizzazioni, dai governi alle grandi aziende, utilizzano per movimentare documenti critici all’interno e all’esterno delle proprie infrastrutture digitali. Proprio per la centralità che ricopre nella gestione delle informazioni, GoAnywhere MFT è da tempo un bersaglio privilegiato per attori malevoli, inclusi gruppi ransomware estremamente attivi.

Le precedenti vulnerabilità della stessa piattaforma (es. CVE-2023-0669 nel 2023) sono state già sfruttate in passato per attacchi di ransomware che hanno colpito centinaia di organizzazioni in tutto il mondo.

La vulnerabilità CVE-2025-10035: come funziona

La falla CVE-2025-10035, scoperta e resa pubblica a metà settembre 2025, impatta tutte le versioni di GoAnywhere MFT precedenti alla 7.8.4 (o 7.6.3 per la versione Sustain). Si tratta di un vulnerabilità di deserializzazione non sicura nello specifico nella License Servlet, cioè nella parte del software che gestisce le autorizzazioni di licenza.

In termini pratici, un attaccante può inviare una risposta di licenza “forgiata” e, sfruttando questa debolezza, far eseguire al sistema codice arbitrario. Non serve essere autenticati per sfruttare la falla e, se il sistema è esposto a Internet, il rischio di compromissione cresce esponenzialmente.

Impatto potenziale:

  • Esecuzione di comandi remoti sul sistema vulnerabile
  • Compromissione completa dell’ambiente
  • Esfiltrazione di dati sensibili, inclusi file critici e credenziali
  • Diffusione di malware o ransomware nell’infrastruttura IT

Sebbene non sia stato ancora segnalato un caso di sfruttamento “in the wild” per CVE-2025-10035, la storia di GoAnywhere MFT (con precedenti exploit reali sfruttati da cybercriminali come il gruppo Cl0p) impone di trattare questa vulnerabilità come un’emergenza.

Versioni affette e identificazione dei sistemi vulnerabili

Sono vulnerabili tutte le versioni di GoAnywhere MFT prima della 7.8.4 (o, per chi utilizza la linea “Sustain”, le versioni prima della 7.6.3).
Per identificare rapidamente i sistemi esposti, si consiglia di analizzare l’inventario software aziendale con una query mirata, ad esempio utilizzando strumenti come runZero o simili. Esempio di query:

(vendor:=Fortra OR vendor:=fortra OR vendor:=HelpSystems OR vendor:=Helpsystems) AND
(product:="Goanywhere Managed File Transfer" OR product:="goanywhere_managed_file_transfer" OR product:="GoAnywhere MFT%") AND
(version:>0 AND version:<7.8.4 AND NOT version:=7.6.3)

Se il tuo sistema risponde a questi criteri, aggiornamento e mitigazione sono obbligatori.

Azioni urgenti: come proteggersi subito

Aggiorna all’ultima versione:
Per mitigare immediatamente il rischio, è fundamental effettuare il patching verso la versione 7.8.4 o superiore (oppure 7.6.3 per la versione Sustain). Le patch ufficiali sono già state rese disponibili da Fortra.

Limita l’accesso alla console di amministrazione:
La vulnerabilità è più facilmente sfruttabile se la console di amministrazione è accessibile liberamente da Internet.

  • Sposta la console in una zona di rete protetta
  • Applica regole firewall per limitare l’accesso soltanto a indirizzi IP fidati

Verifica l’esposizione e monitora il traffico:

  • Utilizza strumenti di asset management e vulnerability assessment per controllare posizione e versione di tutti gli host GoAnywhere MFT
  • Monitora costantemente i log per individuare eventuali tentativi di accesso sospetti o comportamenti anomali (esecuzione di script inusuali, accessi da IP sconosciuti, ecc.)

Analisi tecnica e rischio per le aziende

Il meccanismo della falla

La vulnerabilità nasce da un errore nella gestione della risposta della licenza, col quale è possibile inviare all’applicativo un oggetto inserito in formato serializzato (un modo per rappresentare dati complessi). Il sistema, ricevendo questa risposta apparentemente valida, la deserializza senza le opportune verifiche di sicurezza. Se l’attaccante ha creato l’oggetto con un payload malevolo, può essere eseguito qualsiasi comando a livello di sistema operativo.

La gravità è ulteriormente amplificata dalla possibilità di concatenare questa debolezza con altre falle note già documentate e, potenzialmente, con futuri exploit da sviluppare sulla base di questa prima breccia.

Esposizione e rischio concreto

  • I sistemi più a rischio sono quelli con la console amministrativa di GoAnywhere MFT pubblicamente esposta su Internet.
  • Anche se l’exploit richiede una licenza falsificata, la generazione di firme digitali contraffatte non è oggi un ostacolo insormontabile per attori malevoli di alto livello, specie dopo passate esposizioni di chiavi private.
  • L’esperienza insegna che, quando simili vulnerabilità vengono rese note, lo sfruttamento da parte di attaccanti si intensifica nel giro di giorni o settimane.

Impatti principali sulle organizzazioni

Se sfruttata con successo, la vulnerabilità può portare a:

  • Violazione totale del sistema di gestione file e di tutti i dati in transito o a riposo
  • Crescita del rischio di attacco ransomware con richiesta di riscatto e interruzione di servizi critici
  • Disservizi prolungati e danni reputazionali qualora dovessero essere trafugati documenti riservati e dati sotto GDPR

Precedenti e scenari futuri

Il prodotto GoAnywhere MFT ha già mostrato negli anni una serie di vulnerabilità simili, segnalate e in alcuni casi sfruttate pesantemente:

  • Nel 2023, la falla CVE-2023-0669 ha avuto effetti devastanti, con impatti documentati su oltre 100 organizzazioni, molte delle quali colpite da ransomware.
  • Nei primi mesi del 2024, un’altra vulnerabilità critica (bypass dell’autenticazione) è stata individuata e rilasciata pubblicamente, tenendo in allerta il settore della sicurezza IT.

Questa nuova zero-day si inserisce in un contesto di minacce in continua evoluzione, con attori sempre più sofisticati e motivati ad attaccare software enterprise strategici.

Approfondimento tecnico: come funziona e perché è un rischio elevato

  1. Deserializzazione non sicura: il codice accetta un oggetto serializzato senza verificarne in modo sufficiente la provenienza, aprendo la porta a payload personalizzati e comandi arbitrari.
  2. Necessità di licenza forgiata: anche se la manipolazione della licenza potrebbe sembrare un freno allo sfruttamento su larga scala, esperienze precedenti hanno dimostrato che la generazione di chiavi e firme false può essere bypassata, soprattutto quando ci sono errori storici nella gestione delle chiavi di cifratura.
  3. Combinazione di vulnerabilità: il rischio reale per le aziende aumenta se questi nuovi bug possono essere “concatenati” ad altre vulnerabilità note o future, consentendo escalation di privilegio, persistenza e movimenti laterali silenziosi nell’infrastruttura attaccata.

Best practice e azioni di sicurezza avanzate

Consigli avanzati per la protezione:

  • Patch management rigoroso: implementa una routine di aggiornamento veloce e continua, specialmente per sistemi software “di frontiera” esposti a Internet.
  • Analisi forense proattiva: dopo il patching, analizza log e audit trail per individuare eventuali segni di compromissione pregressa (script sospetti, login anomali, escalation di privilegi).
  • Segmentazione di rete: isola i sistemi MFT dal resto dell’infrastruttura e limita le comunicazioni solo ai servizi necessariamente abilitati.
  • Gestione delle credenziali: aggiorna le chiavi private e di licenza eventualmente esposte, ruotando anche altre credenziali a rischio.
  • Simulazione di attacco e penetration test: esegui regolarmente test di sicurezza specifici per la superficie d’attacco rappresentata dai software di Managed File Transfer.

In sintesi:
La rapidità di risposta è vitale. Aggiornare immediatamente, limitare l’accesso, monitorare e testare costantemente la sicurezza sono gli unici modi per ridurre il rischio di attacchi devastanti, evitando conseguenze economiche e di immagine potenzialmente irreparabili.

Fonte: https://cybersecuritynews.com/fortra-goanywhere-0-day-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto