Fortra GoAnywhere MFT の脆弱性 CVE-2025-10035:パッチ公開前のゼロデイ攻撃を確認

Fortra GoAnywhere Vulnerability Exploited as 0-Day Before Patch

2025/09/26 CyberSecurityNews — Fortra の GoAnywhere Managed File Transfer (MFT) ソリューションに存在する、深刻な脆弱性 CVE-2025-10035 (CVSS:10.0) は、同社によるパッチが公開された1週間も前から、ゼロデイ攻撃として積極的に悪用されていた。この脆弱性はコマンド・インジェクションの欠陥であり、認証を必要としないリモート・コード実行を可能にするという。セキュリティ企業 watchTowr が確認したのは、2025年9月10日 (Fortra の公式アドバイザリ発表の8日前) から、実環境での悪用が始まっていた証拠である。

当初 Fortra は、この脆弱性を GoAnywhere MFT License Servlet のデシリアライゼーション問題として説明していた。同社のアドバイザリによると、有効なライセンス・レスポンス偽造署名を持つ攻撃者が、細工したオブジェクトをデシリアライズすることで、コマンド・インジェクションが発生する可能性があるという。

しかし、9月18日の初期発表の時点では、侵害の兆候 (IoC) が示された一方で、実際の悪用については言及されていなかった。同社の説明は、9月11日の内部セキュリティ・チェック中に、同社により発見された脆弱性とのことだが、この対応は研究者にとって異例である。

ゼロデイ攻撃として悪用された脆弱性

セキュリティ研究者たちは、この脆弱性と悪用のタイムラインの詳細を報告している。

Rapid7 の分析によると、CVE-2025-10035 は単一の不具合ではなく、3つの問題が連鎖しているという。具体的に言うと、2023 年から既知とされているアクセス制御バイパスの脆弱性、および、認証前にトリガーされる安全でないデシリアライズの脆弱性、そして、必要な秘密鍵の取得を攻撃者に許す未知の脆弱性である。

これらの連鎖により、脅威アクターは初期認証を経ずにリモート・コード実行 (RCE) を達成したとされる。その後に攻撃者は、”admin-go” というバックドア管理者アカウントを作成し、それを悪用することで、MFT サービスにアクセス可能な正規の Web ユーザー・アカウントを作成した。この悪意の Web ユーザーを通じて、複数の二次ペイロードがアップロードされ実行された。

watchTowr Labs が確認したのは、この悪用が 9月10日に開始されていたことだ。それは、9月15日のパッチ公開および、9月18日のアドバイザリ公開より以前のことであり、ゼロデイ攻撃が発生したことを示している。

Secure By Design 誓約に署名している Fortra は、実環境での悪用の開示を遅らせたことで批判を浴びている。当初において攻撃の事実が共有されなかったことで、さまざまなセキュリティ・チームが、脅威の全体像を把握できないままリスク評価を迫られた。

侵害の兆候 (IoC)

実環境で確認された攻撃の証拠には、以下の主要な指標が含まれる:

  • バックドア・アカウント:侵害されたシステム上に “admin-go” というローカル・アカウントが作成された。
  • 悪意のファイル:”C:\Windows\zato_be.exe” や “C:\Windows\jwunst.exe” (SimpleHelp バイナリ) などのペイロードが確認された。
  • 攻撃者の IP:脅威アクターに関連付けられた、IP アドレス “155.2.190.197” が特定された。
  • 実行されたコマンド:”whoami /groups” が実行され、その出力が “C:\Windows\test.txt” に保存された。

すでに Fortra は、GoAnywhere MFT 7.8.4/Sustain 7.6.3 をリリースし、この脆弱性に対処している。GoAnywhere MFT には、過去においてランサムウェア・グループの標的となった経緯がある。ユーザー組織にとって必要なことは、パッチを速やかに適用し、パブリックなインターネットに管理コンソールが公開されないようにすることだ。

Fortra GoAnywhere MFT の脆弱性ですが、ベンダーからの公表の前に、ゼロデイ攻撃が発生していたとのことです。また、単一のバグではなく、認証前に発生する安全でないデシリアライズ処理と、既知のアクセス制御バイパス、さらに、秘密鍵取得につながる未知の弱点が連鎖していたと指摘されています。その結果として、認証を経ずにコマンド・インジェクションとリモート・コード実行が可能になり、悪意の管理者アカウントやペイロードの設置を、攻撃者に許していたようです。ご利用のチームは、自社環境をご確認ください。よろしければ、2025/09/19 の「Fortra GoAnywhere の脆弱性 CVE-2025-10035 が FIX:コマンド・インジェクションの恐れ」を、ご参照ください。