GoAnywhere の脆弱性 CVE-2025-10035 を悪用：Medusa ランサムウェア攻撃を Microsoft が検知

Microsoft: Critical GoAnywhere bug exploited in ransomware attacks

2025/10/06 BleepingComputer — GoAnywhere MFT の深刻な脆弱性を積極的に悪用するサイバー犯罪グループ Storm-1175 が、約１ヶ月間にわたって Medusa ランサムウェア攻撃を仕掛けている。この脆弱性 CVE-2025-10035 は、Web ベースのセキュア転送ツール GoAnywhere MFT に存在し、License Servlet における信頼できないデータのデシリアライズの欠陥に起因するものだ。ユーザーの操作を必要としない複雑性の低い攻撃により、この脆弱性がリモートから悪用される可能性がある。

Shadowserver Foundation のセキュリティ・アナリストたちは、オンラインで公開されている 500 以上の GoAnywhere MFT インスタンスを監視しているが、すでにパッチ適用が完了したインスタンス数は不明であるという。

すでに Fortra は、9月18日の時点で、この脆弱性に対処している。しかし、当初においては、悪用の事実は言及されなかった。その一方で WatchTowr Labs のセキュリティ研究者たちは、9月10日以降のゼロデイ攻撃で CVE-2025-10035 が悪用されていたという信頼できる証拠を受け取り、悪用が確認されたと一週間後に表明した。

Medusa ランサムウェア攻撃での悪用

WatchTowr Labs の報告を確認した後に Microsoft が公開したのは、同社が Storm-1175 として追跡している Medusa ランサムウェアの亜種が、遅くとも 2025年9月11日以降の攻撃で、この脆弱性を悪用したという情報だった。

Microsoft は、「Defender チームの研究者たちは、Storm-1175 の TTP (tactics, techniques, and procedures) に沿った複数の悪用活動を特定した」と述べている。

この攻撃者は初期アクセスのために、2025年9月の時点でゼロデイだったデシリアライズの脆弱性 CVE-2025-10035 を悪用した。また、持続性を維持するための RMM (remote monitoring and management) ツールとしては、SimpleHelp と MeshAgent を悪用した。

次の攻撃ステップにおいて、Storm-1175 は RMM バイナリを起動し、ネットワーク偵察に Netscan を用いることで、ユーザーとシステムを検出するコマンドを実行した。さらに、Microsoft RDP 接続クライアント “mstsc.exe” を悪用することで、侵害済のネットワークを他のシステムへ向けて横移動した。

この攻撃において、少なくとも１社の被害者の環境では、Rclone によるファイルの窃取が行われ、Medusa ランサムウェアのペイロードの展開とファイルの暗号化に至った。

Medusa ランサムウェアについては、2025年3月の時点で、CISA／FBI／MS-ISAC が共同勧告を発し、全米の 300 以上の重要インフラ組織に影響が生じていると警告していた。

さらに 2024年7月に Microsoft は、Storm-1175 脅威グループが、他の３つのサイバー犯罪グループと共同して、VMware ESXi の認証バイパスの脆弱性を悪用する攻撃に関与したことを明らかにしている。この脆弱性は、Akira および Black Basta ランサムウェアの拡散につながっている。

GoAnywhere MFT サーバを標的とする、Medusa ランサムウェア攻撃から防御するために、Microsoft と Fortra が管理者に対して推奨するのは、最新バージョンへの速やかなアップグレードである。さらに Fortra は、個々のインスタンスにおける影響の有無を確認するために、ログファイルにおける SignedObject.getObject 文字列のスタック・トレース・エラーを調査するよう顧客に求めている。

GoAnywhere MFT の License Servlet における、信頼できないデータのデシリアライズの脆弱性により、Medusa ランサムウェア攻撃が活性化しているようです。適切な検証をバイパスする形で、外部入力がオブジェクト化されるため、それを悪用する攻撃者に、ユーザー操作が不要な任意のコード実行の機会が与えられていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-10035 で検索も、ご参照ください。