CVE-2025-10035 – IoT OT Security News

GoAnywhere の脆弱性 CVE-2025-10035 を悪用：Medusa ランサムウェア攻撃を Microsoft が検知

Microsoft: Critical GoAnywhere bug exploited in ransomware attacks

2025/10/06 BleepingComputer — GoAnywhere MFT の深刻な脆弱性を積極的に悪用するサイバー犯罪グループ Storm-1175 が、約１ヶ月間にわたって Medusa ランサムウェア攻撃を仕掛けている。この脆弱性 CVE-2025-10035 は、Web ベースのセキュア転送ツール GoAnywhere MFT に存在し、License Servlet における信頼できないデータのデシリアライズの欠陥に起因するものだ。ユーザーの操作を必要としない複雑性の低い攻撃により、この脆弱性がリモートから悪用される可能性がある。

CISA KEV 警告 25/09/29：Cisco IOS／Fortra／Libraesva／Linux Sudo／Adminer の脆弱性を登録

U.S. CISA adds Adminer, Cisco IOS, Fortra GoAnywhere MFT, Libraesva ESG, and Sudo flaws to its Known Exploited Vulnerabilities catalog

2025/09/30 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Cisco IOS／Fortra GoAnywhere MFT／Libraesva ESG／Linux Sudo／Adminer の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに登録した。

CVE-2025-20352：Cisco IOS／IOS XE：スタック・オーバーフロー
CVE-2025-10035：Fortra GoAnywhere：信頼できないデータのデシリアライズ
CVE-2025-59689：Libraesva ESG：コマンド・インジェクション
CVE-2025-32463：Linux Sudo：信頼できない制御範囲からの機能の組み込み
CVE-2021-21311：Adminer：サーバサイド・リクエスト・フォージェリ

Fortra GoAnywhere MFT の脆弱性 CVE-2025-10035：パッチ公開前のゼロデイ攻撃を確認

Fortra GoAnywhere Vulnerability Exploited as 0-Day Before Patch

2025/09/26 CyberSecurityNews — Fortra の GoAnywhere Managed File Transfer (MFT) ソリューションに存在する、深刻な脆弱性 CVE-2025-10035 (CVSS：10.0) は、同社によるパッチが公開された１週間も前から、ゼロデイ攻撃として積極的に悪用されていた。この脆弱性はコマンド・インジェクションの欠陥であり、認証を必要としないリモート・コード実行を可能にするという。セキュリティ企業 watchTowr が確認したのは、2025年9月10日 (Fortra の公式アドバイザリ発表の８日前) から、実環境での悪用が始まっていた証拠である。

Fortra GoAnywhere の脆弱性 CVE-2025-10035 が FIX：コマンド・インジェクションの恐れ

Fortra warns of max severity flaw in GoAnywhere MFT’s License Servlet

2025/09/19 BleepingComputer — Fortra が公表したのは、GoAnywhere MFT の License Servlet に存在する、コマンド・インジェクション攻撃に悪用され得る深刻な脆弱性 CVE-2025-10035 についての警告と、セキュリティ・アップデートのリリースに関する情報である。GoAnywhere MFT は、Web ベースのマネージド・ファイル転送ツールであり、組織によるファイルの安全な転送をサポートし、また、共有ファイルにアクセスしたユーザーの監査ログを維持するものだ。