La empresa de ciberseguridad WatchTowr Labs ha revelado que tiene «pruebas creíbles» de la explotación activa de la falla de seguridad recientemente revelada en el software Fortra GoAnywhere Managed File Transfer (MFT) ya el 10 de septiembre de 2025, una semana antes de que se divulgara públicamente.
«No se trata 'solo' de una falla del CVSS 10.0 en una solución preferida desde hace mucho tiempo por los grupos de APT y los operadores de ransomware, sino que se trata de una vulnerabilidad que se ha explotado activamente desde al menos el 10 de septiembre de 2025", dijo Benjamin Harris, director ejecutivo y fundador de WatchTowr, a The Hacker News.
La vulnerabilidad en cuestión es CVE-2025-10035 , que se ha descrito como una vulnerabilidad de deserialización en el Servlet de licencias que podría provocar la inyección de comandos sin autenticación. Fortra publicó la semana pasada la versión 7.8.4 de Fortra GoAnywhere, o la versión 7.6.3 de Sustain, para solucionar el problema.
Según un análisis <GUID>publicada por WatchTowr a principios de esta semana, la vulnerabilidad tiene que ver con el hecho de que es posible enviar una solicitud HTTP GET diseñada al punto final «/goAnywhere/License/Unlicensed.xhtml/» para interactuar directamente con el Servlet de licencias («com.linoma.ga.ui.admin.servlet.LicenseResponseServlet») que está expuesto en «/goanywhere/lic/accept/» mediante el GUID incorporado en la respuesta a la solicitud enviada anteriormente.
Con esta elusión de autenticación, un atacante puede aprovechar las protecciones de deserialización inadecuadas del Servlet de licencias para provocar la inyección de comandos. Dicho esto, la forma exacta en que ocurre esto es algo así como un misterio, señalaron los investigadores Sonny Macdonald y Piotr Bazydlo.
El proveedor de ciberseguridad Rapid7, que también publicado sus hallazgos sobre el CVE-2025-10035 dijeron que no se trata de una vulnerabilidad de deserialización única, sino de una cadena de tres problemas distintos:
- Una circunvalación de control de acceso que se conoce desde 2023
- La vulnerabilidad de deserialización insegura CVE-2025-10035, y
- Un problema aún desconocido relacionado con la forma en que los atacantes pueden conocer una clave privada específica
En un informe posterior publicado El jueves, WatchTowr dijo que había recibido pruebas de esfuerzos de explotación, incluido un rastreo de pila que permite la creación de una cuenta clandestina. La secuencia de la actividad es la siguiente:
- Activar la vulnerabilidad de autenticación previa en Fortra GoAnywhere MFT para lograr la ejecución remota de código (RCE)
- Uso del RCE para crear un usuario de GoAnywhere llamado «admin-go»
- Uso de la cuenta recién creada para crear un usuario web
- Aprovechar al usuario web para interactuar con la solución y cargar y ejecutar cargas útiles adicionales, como SimpleHelp y un implante desconocido (» zato_be.exe «)
La empresa de ciberseguridad también dijo que la actividad del actor de amenazas se originó en la dirección IP 15.2.190 [.] 197 , que, según VirusTotal , ha sido señalada por realizar ataques de fuerza bruta contra dispositivos FortiGate SSL VPN de Fortinet.
Dadas las señales de una explotación generalizada, es imperativo que los usuarios actúen rápidamente para aplicar las correcciones, si no lo hacen ya. The Hacker News se ha puesto en contacto con Fortra para solicitar sus comentarios, y actualizaremos la historia si tenemos noticias.