Les chercheurs avertissent les organisations de mettre à niveau immédiatement les déploiements de Goanywhere MFT en raison de vulnérabilités qui ont été exploitées dans le passé par des gangs de ransomware.
Les utilisateurs de la solution de MFT Goanywhere de Fortra sont invités à corriger une vulnérabilité critique qui pourrait permettre aux attaquants d’injecter et d’exécuter des commandes arbitraires.
Le défaut, suivi en CVE-2025-10035, est évalué avec le score de gravité maximal de 10 sur l’échelle CVSS. Il découle d’une condition de désérialisation insécurité dans la composante servlet de licence de l’application.
Goanywhere MFT est une solution de transfert de fichiers gérée par l’entreprise qui permet aux organisations d’échanger en toute sécurité des fichiers entre partenaires, employés et systèmes internes en utilisant une variété de protocoles. Le produit, ainsi que d’autres solutions MFT, ont été ciblés par les gangs de ransomwares dans le passé comme un moyen d’obtenir un premier accès aux réseaux d’entreprise.
La nouvelle vulnérabilité a été corrigée 5 jours après sa découverte le 13 septembre. Il est conseillé aux utilisateurs de mettre à jour les versions MFT 7.8.4 et 7.6.3, selon la version qu’ils utilisent.
L’exploitation réussie dépend de l’attaquant qui a la possibilité d’accéder à la console d’administration Goanywhere et d’envoyer une signature de réponse de licence forgée valablement pour désérialiser un objet contrôlé par acteur arbitraire. Fortra conseille aux utilisateurs de ne pas exposer la console d’administration directement à Internet.
Bien qu’il n’y ait actuellement aucune indication qu’un exploit de preuve de concept a été divulgué publiquement ou que les attaquants ciblent déjà ce défaut, qui est susceptible de changer. Lorsque le gang de ransomware CL0P a exploité CVE-2023-0669 à Goanywhere comme un jour zéro en janvier 2023, les attaquants ont affirmé que cela avait abouti au compromis de 130 organisations.
