Microsoft ha rilevato attacchi informatici che sfruttano una vulnerabilità presente in GoAnywhere MFT di Fortra per distribuire il ransomware Medusa. La software house del Minnesota ha rilasciato la patch il 18 settembre, ma ci sono ancora centinaia di istanze vulnerabili.
Descrizione della vulnerabilità
La vulnerabilità, indicata con CVE-2025-10035, è presente nel License Servlet di GoAnywhere MFT, una piattaforma per lo scambio sicuro e automatizzato dei file. Al problema di sicurezza è stato assegnato il massimo livello di gravità (10), in quanto può essere sfruttata per iniettare comandi ed eseguire codice remoto. Ciò avviene aggirando la verifica della firma e non occorre l’interazione dell’utente.
Fortra scrive che la vulnerabilità è stata scoperta l’11 settembre nelle versioni precedenti alla 7.8.4. La patch è stata rilasciata una settimana dopo, ma la software house non ha specificato che ci sono exploit in circolazione. Microsoft ha scoperto che uno degli exploit è stato utilizzato dal gruppo Storm-1175, noto per gli attacchi effettuati con il ransomware Medusa.
Gli esperti dell’azienda di Redmond hanno rilevato attacchi contro molte organizzazioni. Secondo Shadowserver Foundation, le istanze GoAnywhere MFT ancora vulnerabili sono oltre 500. Il bug è stato sfruttato per l’accesso iniziale da remoto. Per mantenere la persistenza sono stati usati tool RMM (Remote Monitoring and Management), in particolare SimpleHelp e MeshAgent.
I cybercriminali hanno quindi effettuato una scansione della rete con netscan o tool simili. Tramite mstsc.exe (desktop remoto di Windows) hanno ottenuto l’accesso ad altri sistemi connessi alla rete locale. Usando Rclone hanno esfiltrato i file prima di cifrarli con Medusa.
Le aziende che usano GoAnywhere MFT devono urgentemente installare la patch distribuita da Fortra. I clienti di Microsoft sono protetti da Defender XDR, Defender for Endpoint e Defender Antivirus.
Ti potrebbe interessare
10 ott 2025