Código HTML do Conteúdo

Post: Microsoft: Bug Crítico do GoAnywhere Explorado no Campo do Medusa Ransomware

<div> <div> <div> <div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-b512c391-bbd5-4e1b-9372-77d3fe6866e5"> <p>Uma vulnerabilidade na ferramenta GoAnywhere Managed File Transfer (MFT) da Fortra com uma pontua&ccedil;&atilde;o CVSS de 10,0 est&aacute; sendo explorada ativamente em ataques de ransomware, alertou a Microsoft.</p> <p>A gigante da tecnologia publicou uma postagem no blog ontem para pedir aos clientes que corrijam o CVE-2025-10035: uma falha cr&iacute;tica de desserializa&ccedil;&atilde;o no Console de Administra&ccedil;&atilde;o do Servlet de Licen&ccedil;a do GoAnywhere MFT.</p> <p>&ldquo;Ele permite que um invasor ignore a verifica&ccedil;&atilde;o de assinatura criando uma assinatura de resposta de licen&ccedil;a forjada, que permite a desserializa&ccedil;&atilde;o de objetos arbitr&aacute;rios controlados pelo invasor&rdquo;, explicou a Microsoft.</p> <p>&ldquo;A explora&ccedil;&atilde;o bem-sucedida pode resultar em inje&ccedil;&atilde;o de comando e potencial RCE [remote code execution] no sistema afetado. Relat&oacute;rios p&uacute;blicos indicam que a explora&ccedil;&atilde;o n&atilde;o requer autentica&ccedil;&atilde;o se o invasor puder criar ou interceptar respostas de licen&ccedil;a v&aacute;lidas, tornando essa vulnerabilidade particularmente perigosa para inst&acirc;ncias expostas &agrave; Internet.&rdquo;</p> <p>Ap&oacute;s a explora&ccedil;&atilde;o, os agentes de amea&ccedil;as podem realizar a descoberta do sistema e do usu&aacute;rio, manter o acesso de longo prazo e implantar outras ferramentas para movimento lateral e malware, acrescentou.</p> <p><a href="https://www.infosecurity-magazine.com/news/exploit-code-critical-fortra/" target="_blank"><em>Leia mais sobre GoAnywhere: C&oacute;digo de explora&ccedil;&atilde;o lan&ccedil;ado para o bug cr&iacute;tico do Fortra GoAnywhere</em></a></p> <p>Embora corrigida pelo desenvolvedor Fortra em 18 de setembro, a vulnerabilidade foi originalmente explorada como um dia zero uma semana antes (11 de setembro) pelo grupo de amea&ccedil;as Storm-1175.</p> <p>Ap&oacute;s o acesso inicial, o grupo lan&ccedil;ou bin&aacute;rios de ferramentas leg&iacute;timas de monitoramento e gerenciamento remoto (RMM) SimpleHelp e MeshAgent, usou ferramentas como netscan para descoberta de rede e moveu-se lateralmente usando o cliente Microsoft Remote Desktop Connection (&ldquo;mstsc.exe&rdquo;).</p> <p>&ldquo;Para comando e controle (C2), o agente da amea&ccedil;a utilizou ferramentas RMM para estabelecer sua infraestrutura e at&eacute; mesmo configurar um t&uacute;nel Cloudflare para comunica&ccedil;&atilde;o C2 segura&rdquo;, continuou o relat&oacute;rio.</p> <p>&ldquo;Durante o est&aacute;gio de exfiltra&ccedil;&atilde;o, a implanta&ccedil;&atilde;o e execu&ccedil;&atilde;o do Rclone foram observadas em pelo menos um ambiente de v&iacute;tima. Em &uacute;ltima an&aacute;lise, em um ambiente comprometido, a implanta&ccedil;&atilde;o bem-sucedida do ransomware Medusa foi observada.&rdquo;</p> <p>De acordo com a Shadowserver Foundation, existem 513 inst&acirc;ncias do GoAnywhere atualmente expostas, a maioria das quais (363) est&aacute; localizada na Am&eacute;rica do Norte.</p> <h2>Medusa ataca novamente</h2> <p>Identificada pela primeira vez em 2021, a Medusa prendeu mais de 300 v&iacute;timas globais em setores de infraestrutura cr&iacute;tica,<a href="https://www.infosecurity-magazine.com/news/cisa-fbi-warn-medusa-ransomware/" target="_blank">de acordo com um comunicado conjunto de mar&ccedil;o</a> publicado pela Ag&ecirc;ncia de Seguran&ccedil;a Cibern&eacute;tica e Infraestrutura (CISA), pelo FBI e pelo Centro de An&aacute;lise e Compartilhamento de Informa&ccedil;&otilde;es Multiestaduais (MS-ISAC).</p> <p>Ela <a href="https://www.infosecurity-magazine.com/news/medusa-claims-victims-2025/" target="_blank">Mais de 40 v&iacute;timas</a> apenas nos primeiros dois meses de 2025, incluindo um ataque confirmado a uma organiza&ccedil;&atilde;o de sa&uacute;de dos EUA.</p> <p>Os afiliados que usam a variante ransomware-as-a-service geralmente obt&ecirc;m acesso inicial por meio de campanhas de phishing ou explorando vulnerabilidades de software n&atilde;o corrigidas. Em campanhas anteriores, eles usaram um desvio de autentica&ccedil;&atilde;o do ScreenConnect (CVE-2024-1709) e uma falha de inje&ccedil;&atilde;o de SQL do Fortinet EMS (CVE-2023-48788).</p> <p><a href="https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/" target="_blank">Microsoft instou</a>Os clientes do GoAnywhere para:</p> <ul> <li>Atualize para a vers&atilde;o mais recente do software de acordo com<a href="https://www.goanywhere.com/resources/articles/how-to-upgrade-goanywhere-mft" target="_blank">Recomenda&ccedil;&otilde;es de Fortra</a></li> <li>Use um produto de gerenciamento de superf&iacute;cie de ataque corporativo para descobrir sistemas sem patch no per&iacute;metro da rede</li> <li>Verifique o firewall e o proxy do per&iacute;metro para garantir que os servidores n&atilde;o tenham permiss&atilde;o para acessar a Internet para conex&otilde;es arbitr&aacute;rias, como navega&ccedil;&atilde;o e downloads</li> <li>Ferramentas de detec&ccedil;&atilde;o e resposta (EDR) de endpoint de execu&ccedil;&atilde;o no modo de bloqueio para corrigir artefatos mal-intencionados detectados ap&oacute;s a viola&ccedil;&atilde;o</li> <li>Ligarmodo de bloqueioem produtos antiv&iacute;rus corporativos</li> </ul> </div> </div> </div></div>