Microsoft: Bug Crítico do GoAnywhere Explorado no Campo do Medusa Ransomware

Microsoft: Bug Crítico do GoAnywhere Explorado no Campo do Medusa Ransomware

Uma vulnerabilidade na ferramenta GoAnywhere Managed File Transfer (MFT) da Fortra com uma pontuação CVSS de 10,0 está sendo explorada ativamente em ataques de ransomware, alertou a Microsoft.

A gigante da tecnologia publicou uma postagem no blog ontem para pedir aos clientes que corrijam o CVE-2025-10035: uma falha crítica de desserialização no Console de Administração do Servlet de Licença do GoAnywhere MFT.

“Ele permite que um invasor ignore a verificação de assinatura criando uma assinatura de resposta de licença forjada, que permite a desserialização de objetos arbitrários controlados pelo invasor”, explicou a Microsoft.

“A exploração bem-sucedida pode resultar em injeção de comando e potencial RCE [remote code execution] no sistema afetado. Relatórios públicos indicam que a exploração não requer autenticação se o invasor puder criar ou interceptar respostas de licença válidas, tornando essa vulnerabilidade particularmente perigosa para instâncias expostas à Internet.”

Após a exploração, os agentes de ameaças podem realizar a descoberta do sistema e do usuário, manter o acesso de longo prazo e implantar outras ferramentas para movimento lateral e malware, acrescentou.

Leia mais sobre GoAnywhere: Código de exploração lançado para o bug crítico do Fortra GoAnywhere

Embora corrigida pelo desenvolvedor Fortra em 18 de setembro, a vulnerabilidade foi originalmente explorada como um dia zero uma semana antes (11 de setembro) pelo grupo de ameaças Storm-1175.

Após o acesso inicial, o grupo lançou binários de ferramentas legítimas de monitoramento e gerenciamento remoto (RMM) SimpleHelp e MeshAgent, usou ferramentas como netscan para descoberta de rede e moveu-se lateralmente usando o cliente Microsoft Remote Desktop Connection (“mstsc.exe”).

“Para comando e controle (C2), o agente da ameaça utilizou ferramentas RMM para estabelecer sua infraestrutura e até mesmo configurar um túnel Cloudflare para comunicação C2 segura”, continuou o relatório.

“Durante o estágio de exfiltração, a implantação e execução do Rclone foram observadas em pelo menos um ambiente de vítima. Em última análise, em um ambiente comprometido, a implantação bem-sucedida do ransomware Medusa foi observada.”

De acordo com a Shadowserver Foundation, existem 513 instâncias do GoAnywhere atualmente expostas, a maioria das quais (363) está localizada na América do Norte.

Medusa ataca novamente

Identificada pela primeira vez em 2021, a Medusa prendeu mais de 300 vítimas globais em setores de infraestrutura crítica,de acordo com um comunicado conjunto de março publicado pela Agência de Segurança Cibernética e Infraestrutura (CISA), pelo FBI e pelo Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-ISAC).

Ela Mais de 40 vítimas apenas nos primeiros dois meses de 2025, incluindo um ataque confirmado a uma organização de saúde dos EUA.

Os afiliados que usam a variante ransomware-as-a-service geralmente obtêm acesso inicial por meio de campanhas de phishing ou explorando vulnerabilidades de software não corrigidas. Em campanhas anteriores, eles usaram um desvio de autenticação do ScreenConnect (CVE-2024-1709) e uma falha de injeção de SQL do Fortinet EMS (CVE-2023-48788).

Microsoft instouOs clientes do GoAnywhere para:

  • Atualize para a versão mais recente do software de acordo comRecomendações de Fortra
  • Use um produto de gerenciamento de superfície de ataque corporativo para descobrir sistemas sem patch no perímetro da rede
  • Verifique o firewall e o proxy do perímetro para garantir que os servidores não tenham permissão para acessar a Internet para conexões arbitrárias, como navegação e downloads
  • Ferramentas de detecção e resposta (EDR) de endpoint de execução no modo de bloqueio para corrigir artefatos mal-intencionados detectados após a violação
  • Ligarmodo de bloqueioem produtos antivírus corporativos

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.