Nedavno zakrpljena ranjivost u Fortra GoAnywhere MFT (Managed File Transfer) iskorišćavana je kao zero-day od strane jedne kineske ransomware grupe, navodi Microsoft.
Ranjivost, praćena kao CVE-2025-10035 (CVSS 10/10), objavljena je 18. septembra kada je Fortra izdala zakrpe. Radi se o problemu deserializacije u servletu za licence aplikacije; bag može dovesti do injekcije komandi i udaljenog izvršavanja koda (RCE).
Ubrzo nakon javne objave, bezbjednosna firma watchTowr upozorila je da je ta ranjivost iskorišćavana kao zero-day najmanje od 10. septembra, bez potrebe za autentifikacijom, pri čemu su napadači kreirali administratorske naloge za pristup MFT servisu.
Sada Microsoft kaže da je Storm-1175, finansijski motivisana grupa hakera koja koristi Medusa ransomware, iskorišćavala ranjivost od 11. septembra.
Ransomware grupa je ciljala internet-izložene instance GoAnywhere MFT koristeći krivotvorene potpise odgovora licence kako bi ostvarila RCE.
Napadači su pod procesom GoAnywhere MFT postavili alate za daljinsko upravljanje i nadzor SimpleHelp i MeshAgent i kreirali .jsp fajl unutar direktorijuma aplikacije.
Zatim su hakeri izvršili otkrivanje korisnika, sistema i mreže, a potom lateralno kretanje koristeći mstsc.exe. Storm-1175 je takođe uspostavila Cloudflare tunel za komunikaciju sa komandno-kontrolnim (C&C) serverom.
U najmanje jednom kompromitovanom okruženju, napadači su koristili komandni alat Rclone za eksfiltraciju podataka. Grupa je na najmanje jednoj kompromitovanoj mreži rasporedila Medusa ransomware.
Gotovo tri sedmice nakon objave zakrpi, dvije sedmice od kada je iskorišćavanje zero-day navedeno, i sedmicu od kada je američka agencija za sajber bezbjednost CISA dodala CVE na svoj KEV spisak, Fortra nije ažurirala svoj advisory da upozori na stvarno iskorišćavanje buga.
Ovo, istakao je u komentaru za mejl CEO watchTowr Benjamin Harris, trebalo bi da se promijeni, posebno sada kada Microsoft potvrđuje ranije nalaze o zero-day napadima.
„Microsoftova potvrda sada stvara prilično neugodnu situaciju — iskorišćavanje, atribucija i mjesec dana prednosti za napadače“, rekao je Harris, „Što još nedostaje su odgovori koje samo Fortra može dati. Kako su hakeri došli do privatnih ključeva potrebnih za iskorišćavanje? Zašto su organizacije ostale u mraku tako dugo?“
Tehničke analize watchTowr i Rapid7 pokazale su da uspjeh iskorišćavanja CVE-a zavisi od toga da napadači posjeduju privatni ključ označen kao ‘serverkey1’, koji je potreban za krivotvorenje potpisa odgovora licence.
Nijedna od kompanija nije uspjela da pronađe ključ, pa spekulišu da je iscurio, ili da su napadači prevarili serversku licencu da potpiše maliciozni potpis, ili su pristup ključu stekli na neki drugi nepoznat način.
Izvor: SecurityWeek
