Título: Microsoft: Bug Crítico do GoAnywhere Explorado no Campo do Medusa Ransomware
Data: 2025-10-07 09:45:00
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/microsoft-bug-critico-do-goanywhere-explorado-no-campo-do-medusa-ransomware/2023/

Uma vulnerabilidade na ferramenta GoAnywhere Managed File Transfer (MFT) da Fortra com uma pontua&ccedil;&atilde;o CVSS de 10,0 est&aacute; sendo explorada ativamente em ataques de ransomware, alertou a Microsoft.
A gigante da tecnologia publicou uma postagem no blog ontem para pedir aos clientes que corrijam o CVE-2025-10035: uma falha cr&iacute;tica de desserializa&ccedil;&atilde;o no Console de Administra&ccedil;&atilde;o do Servlet de Licen&ccedil;a do GoAnywhere MFT.
&ldquo;Ele permite que um invasor ignore a verifica&ccedil;&atilde;o de assinatura criando uma assinatura de resposta de licen&ccedil;a forjada, que permite a desserializa&ccedil;&atilde;o de objetos arbitr&aacute;rios controlados pelo invasor&rdquo;, explicou a Microsoft.
&ldquo;A explora&ccedil;&atilde;o bem-sucedida pode resultar em inje&ccedil;&atilde;o de comando e potencial RCE [remote code execution] no sistema afetado. Relat&oacute;rios p&uacute;blicos indicam que a explora&ccedil;&atilde;o n&atilde;o requer autentica&ccedil;&atilde;o se o invasor puder criar ou interceptar respostas de licen&ccedil;a v&aacute;lidas, tornando essa vulnerabilidade particularmente perigosa para inst&acirc;ncias expostas &agrave; Internet.&rdquo;
Ap&oacute;s a explora&ccedil;&atilde;o, os agentes de amea&ccedil;as podem realizar a descoberta do sistema e do usu&aacute;rio, manter o acesso de longo prazo e implantar outras ferramentas para movimento lateral e malware, acrescentou.
Leia mais sobre GoAnywhere: C&oacute;digo de explora&ccedil;&atilde;o lan&ccedil;ado para o bug cr&iacute;tico do Fortra GoAnywhere
Embora corrigida pelo desenvolvedor Fortra em 18 de setembro, a vulnerabilidade foi originalmente explorada como um dia zero uma semana antes (11 de setembro) pelo grupo de amea&ccedil;as Storm-1175.
Ap&oacute;s o acesso inicial, o grupo lan&ccedil;ou bin&aacute;rios de ferramentas leg&iacute;timas de monitoramento e gerenciamento remoto (RMM) SimpleHelp e MeshAgent, usou ferramentas como netscan para descoberta de rede e moveu-se lateralmente usando o cliente Microsoft Remote Desktop Connection (&ldquo;mstsc.exe&rdquo;).
&ldquo;Para comando e controle (C2), o agente da amea&ccedil;a utilizou ferramentas RMM para estabelecer sua infraestrutura e at&eacute; mesmo configurar um t&uacute;nel Cloudflare para comunica&ccedil;&atilde;o C2 segura&rdquo;, continuou o relat&oacute;rio.
&ldquo;Durante o est&aacute;gio de exfiltra&ccedil;&atilde;o, a implanta&ccedil;&atilde;o e execu&ccedil;&atilde;o do Rclone foram observadas em pelo menos um ambiente de v&iacute;tima. Em &uacute;ltima an&aacute;lise, em um ambiente comprometido, a implanta&ccedil;&atilde;o bem-sucedida do ransomware Medusa foi observada.&rdquo;
De acordo com a Shadowserver Foundation, existem 513 inst&acirc;ncias do GoAnywhere atualmente expostas, a maioria das quais (363) est&aacute; localizada na Am&eacute;rica do Norte.
Medusa ataca novamente
Identificada pela primeira vez em 2021, a Medusa prendeu mais de 300 v&iacute;timas globais em setores de infraestrutura cr&iacute;tica,de acordo com um comunicado conjunto de mar&ccedil;o publicado pela Ag&ecirc;ncia de Seguran&ccedil;a Cibern&eacute;tica e Infraestrutura (CISA), pelo FBI e pelo Centro de An&aacute;lise e Compartilhamento de Informa&ccedil;&otilde;es Multiestaduais (MS-ISAC).
Ela Mais de 40 v&iacute;timas apenas nos primeiros dois meses de 2025, incluindo um ataque confirmado a uma organiza&ccedil;&atilde;o de sa&uacute;de dos EUA.
Os afiliados que usam a variante ransomware-as-a-service geralmente obt&ecirc;m acesso inicial por meio de campanhas de phishing ou explorando vulnerabilidades de software n&atilde;o corrigidas. Em campanhas anteriores, eles usaram um desvio de autentica&ccedil;&atilde;o do ScreenConnect (CVE-2024-1709) e uma falha de inje&ccedil;&atilde;o de SQL do Fortinet EMS (CVE-2023-48788).
Microsoft instouOs clientes do GoAnywhere para:

Atualize para a vers&atilde;o mais recente do software de acordo comRecomenda&ccedil;&otilde;es de Fortra
Use um produto de gerenciamento de superf&iacute;cie de ataque corporativo para descobrir sistemas sem patch no per&iacute;metro da rede
Verifique o firewall e o proxy do per&iacute;metro para garantir que os servidores n&atilde;o tenham permiss&atilde;o para acessar a Internet para conex&otilde;es arbitr&aacute;rias, como navega&ccedil;&atilde;o e downloads
Ferramentas de detec&ccedil;&atilde;o e resposta (EDR) de endpoint de execu&ccedil;&atilde;o no modo de bloqueio para corrigir artefatos mal-intencionados detectados ap&oacute;s a viola&ccedil;&atilde;o
Ligarmodo de bloqueioem produtos antiv&iacute;rus corporativos