CVSS 10 in Fortra GoAnywhere MFT – Jetzt updaten!

CVE-2025-10035 (CVSS 10.0) ist eine neue Schwachstelle kritischer Kritikalität in Fortra GoAnywhere MFT (Managed File Transfer). Diese CVE mit maximalem Risiko kann nicht authentifizierte Remote-Code-Ausführung (RCE, Remote Code Execution) ermöglichen. Greenbone kann anfällige Systeme identifizieren, das Einspielen aktueller Sicherheitsupdates ist dringend empfohlen. 

GoAnywhere ist eine zentrale Managed File Transfer (MFT)-Plattform, die Dateiaustausch innerhalb eines Unternehmens sowie mit geschäftlichen Kontakten und Klientel ermöglicht. Die Anwendung erbringt ebenfalls Audit- und Compliance-Berichte, die die Einhaltung von Sicherheitsrichtlinien dokumentieren. 

Die Ursache der CVE liegt in einer Deserialisierungs-Schwachstelle [CWE-502] in Fortra GoAnywhere MFTs License Servlet. Diese Schwachstelle ermöglicht das Fälschen von Lizenzantworten, um beliebige Befehle einzuschleusen und auszuführen [CWE-77]. Reale Ausnutzung wurde bisher zwar noch nicht bestätigt, allerdings war Fortra in der Vergangenheit bereits ein attraktives Ziel für Ransomware-Angriffe. Im Jahr 2023 führte die Schwachstelle CVE-2023-0669 (CVSS 7.2) zu mehreren hochkarätigen Sicherheitsvorfällen durch Ransomware-Gruppe Clop. Machbarkeitsnachweise (PoC, Proof of Concept) für CVE-2025-10035 sind bisher nicht verfügbar, eine detaillierte technische Analyse allerdings schon. Diese Analyse beinhaltet jedoch nicht die vollständige Exploit-Kette – einige Details sind bislang ungeklärt.

CVE-2025-10035 hat bereits mehrere nationale CERT-Warnungen ausgelöst – darunter von Kanadas Canadian Centre for Cyber Security [1], dem niederländischen NCSC-NL [2] und Indiens CERT-In [3]. Das deutsche BSI hat eine Warnung [WID-SEC-2025-2090] veröffentlicht und einen CVSS Temporal Score von 8,7 vergeben. Dieser Wert spiegelt den nicht verifizierten Ausnutzungsstatus (E:U), Verfügbarkeit eines offiziellen Sicherheitsupdates (RL:O) und hohes Vertrauen in den Bericht (RC:C) wider.

Greenbone reagierte schnell mit einem remote Versionserkennungstest im OPENVAS ENTERPRISE FEED, der es Verteidigungsteams ermöglicht, anfällige Instanzen von Fortra GoAnywhere MFT zu erkennen und Sicherheitslücken zu schließen.

Risikobewertung für CVE-2025-10035 in Fortra GoAnywhere

Allein anhand der CVSS-Bewertung von 10 ist das Risiko durch CVE-2025-10035, sofern die Admin-Konsole von GoAnywhere öffentlich über das Internet zugänglich ist, extrem hoch. Die Angriffskomplexität wird als gering eingestuft, User-Interaktion ist nicht erforderlich und erfolgreiche Ausnutzung könnte vollständige Kontrolle über das System ermöglichen.

Öffentliche Zugänglichkeit ist jedoch kein zwingendes Kriterium für die Ausnutzung. Instanzen im privaten Netzwerk können ebenfalls ausgenutzt werden, beispielsweise durch sogenannte „böswillige Insider“-Bedrohungen oder sogar als vertrauenswürdig eingestuften Drittparteien [T1199]. Der Verizon Data Breach Investigations Report (DBIR) 2025 identifiziert Missbrauch von Berechtigungen (beschrieben als schädliche Aktionen von Insider-Bedrohungen) als Hauptursache für 8% der Sicherheitsvorfälle, die 2024 untersucht wurden. Diese Zahl überrascht und untergräbt die gängige Annahme, dass nur öffentliche Schwachstellen primäre Bedrohungen für die Cyber-Resilienz darstellen.

Technische Analysis von CVE-2025-10035 in Fortra GoAnywhere

Das License Servlet von GoAnywhere wird für die Aktivierung des GoAnywhere MFT-Lizenzpakets in Setup-, Verlängerungs- und Migrationsprozessen verwendet. Das License Servlet beinhaltet die Java-Deserialisierung des codierten „SignedObject“. Im Fall von CVE-2025-10035 kann dieser Deserialisierungsprozess Berichten zufolge zu Remote-Code-Ausführung (RCE) führen.

Die Analyse von Watchtorw zeigt eine Pre-Authentication-Schwachstelle, bei der ein für den weiteren Vorgang nötiges Authentifizierungstoken über die Unlicensed.xhtml-Seite zurückgegeben wird, selbst wenn eine Instanz bereits lizenziert ist. Eine fehlerhafte HTTP-GET-Anfrage an diesen Pfad, wie etwa /goanywhere/license/Unlicensed.xhtml/x?, generiert fälschlicherweise ein valides Lizenzanforderungs-Token und liefert dieses verschlüsselt in einem gebündelten Datenobjekt zurück. Grund hierfür ist, dass die Fehlerbehandlungsfunktion AdminErrorHandlerServlet, intern ein gültiges Lizenzanforderungs-Token erzeugt, dieses mit der nicht authentifizierten Sitzung verknüpft und in dem erwähnten serialisierten Objekt zurückgibt. Dieses Datenpaket ist mit einem hartkodierten Key verschlüsselt, der offline entschlüsselt werden kann, um ein gültiges GUID-Authentifizierungstoken in Klartext zu extrahieren.

Ist das GUID-Token wiederhergestellt, könnten nicht authentifizierte Angriffe über den License Servlet Endpunkt POST /goanywhere/lic/accept/<GUID> … bundle=<payload> bösartige serialisierte Payloads einschleusen. Der Angriffsmechanismus zur Deserialisierung des Payloads ist bisher jedoch unbekannt, da das Payloat mit Fortras eigenem gültigen privaten Key signiert werden muss. Die Sicherheitsforschung weist auf mögliche Mechanismen hin, wie zum Beispiel ein gestohlener privater Key oder die Existens bösartiger Payloads, die versehentlich mit Fortras privatem Key signiert wurden.

Risikominderung von CVE-2025-10035 in Fortra GoAnywhere

Fortra hat eine Sicherheitsmeldung [FI-2025-012] veröffentlicht, die Anweisungen zur Minderung von CVE-2025-10035 beinhalten. Die vollständige Behebung erfordert eine Aktualisierung auf eine korrigierte Version: entweder auf 7.8.4 (aktuell) oder 7.6.3 (Sustain). Vorübergehend kann das Risiko gesenkt werden, indem Zugang zur Admin-Konsole eingeschränkt wird.

Fortra fordert ebenfalls auf, nach Indikatoren für Kompromittierung (IoC, Indicators of Compromise) zu suchen, insbesondere Stack-Trace-Logs, die einen Fehler bei SignedObject.getObject zeigen. Dieser Eintrag deutet stark darauf hin, dass die Instanz bereits für einen Angriff ausgenutzt wurde. Gemäß Best Practices sollten Betroffene auch Status-Updates an ihre Kundschaft und Drittbeteiligte bereitstellen.

Zusammenfassung

CVE-2025-10035 eine Schwachstelle mit CVSS 10 und maximaler Schwere in der Deserialisierung von GoAnywhere MFT, die nicht authentifizierte RCE ermöglichen kann. 2023 wurde eine andere GoAnywhere MFT-CVE bereits umfangreich ausgenutzt und mehrere nationale CERTs haben Warnungen zu der Schwachstelle ausgegeben, was auf ein hohes Risiko hinweist. Der OPENVAS ENTERPRISE FEED beinhaltet einen Versionserkennungstest, um anfällige Instanzen sichtbar zu machen. Insbesondere öffentliche, aber auch lokale Instanzen sollten dringend identifiziert und aktualisiert werden.