Kritische Lücke in Fortra GoAnywhere MFT wurde wohl von Angreifern ausgenutzt

Im Lizenz-Servlet von GoAnywhere MFT, einem Dateitransfer-Werkzeug für Unternehmen, klafft eine kritische Sicherheitslücke. Der Hersteller informierte Kunden vor einer Woche über das Leck und stellte Patches bereit. Nun meldet ein Security-Unternehmen, dass wohl seit über zwei Wochen Angriffsversuche laufen – das macht den Sicherheitsfehler zu einem „Zero Day“.

In mehreren Schritten lässt sich der Lizenzmanager von GoAnywhere MFT austricksen, um Schadcode des Angreifers auszuführen – derlei Fehler in Deserialisierungsroutinen sind altbekannt, werden jedoch immer wieder in aktueller Software gefunden. Zuletzt hatte sich Microsoft Sharepoint mit einem ähnlichen Problem hervorgetan. Jetzt hat es GoAnywhere MFT erneut erwischt: Die Sicherheitslücke CVE-2025-10035 wird als kritisch eingestuft und hat eine CVSS-Wertung von 10 Punkten. Das bedeutet: Angreifer können ohne vorherige Anmeldung Schadcode auf dem Server ausführen.

Fortra bringt Patches, andere haben nützliche IOCs

Der Hersteller hat bereits Flicken für den Fehler herausgegeben und empfiehlt seinen Kunden dringend, auf Version 7.8.4 oder die „Sustain Release“, also LTS-Version 7.6.3 zu aktualisieren. Zudem sollte die GoAnywhere Admin Console keinesfalls über das Internet erreichbar sein. Als Indiz eines erfolgreichen Angriffs (Indicator of Compromise, IoC) liefert Fortra hingegen nur den Auszug eines Java-Stacktrace.

Andere sind da redefreudiger: Die Analysefirma WatchTowr Labs hat immerhin noch verdächtige Dateinamen, eine IP-Adresse vom schwedischen VPN-Dienst Mullvad, das verdächtige Konto „admin-go“ und ein paar von Angreifern ausgeführte Kommandos parat, die Verteidigern bei der Suche nach ungebetenen Gästen helfen sollen. Die IoCs veröffentlichte das Unternehmen im zweiten Teil einer detaillierten Analyse der Sicherheitslücke, die WatchTowr allerdings nicht komplett nachstellen konnte.

Es hat Angriffe gegeben

WatchTowr zeigt in der Analyse zudem Nachweise für erfolgreiche Angriffe, die bereits am 10. September 2025, mithin acht Tage vor der Sicherheitswarnung des Herstellers, stattgefunden hätten. Fortra selber gibt an, die Sicherheitslücke bei einer Überprüfung am 11. September entdeckt und unmittelbar gehandelt zu haben.

In jedem Fall sollten Kunden, die GoAnywhere MFT einsetzen, die entsprechenden Server als kompromittiert betrachten und Gegenmaßnahmen einleiten. Sie dürften Kummer gewohnt sein: Vor zweieinhalb Jahren, im Februar 2023, führte eine Schwachstelle in GoAnywhere bereits zu einer umfangreichen Kampagne mit der cl0p-Ransomware, die insgesamt über 130 Firmen betroffen habe. Und auch die aktuelle Sicherheitslücke dürfte im Untergrund schnell waffenfähig gemacht werden.

(cku)