La CVE-2025-10035 (CVSS 10.0) è una vulnerabilità critica appena scoperta in Fortra GoAnywhere MFT (Managed File Transfer). Con un livello di rischio massimo, questa falla consente agli aggressori di eseguire comandi da remoto senza autenticazione (RCE). Greenbone può rilevare i sistemi vulnerabili e tutti gli utenti dovrebbero applicare le patch con urgenza.

GoAnywhere MFT è una piattaforma centralizzata per il trasferimento sicuro dei file, utilizzata per lo scambio di dati con partner commerciali, clienti e dentro le organizzazioni. L’applicazione offre anche funzionalità di audit e reportistica per la conformità.

La vulnerabilità è causata da un difetto di deserializzazione [CWE-502] nel License Servlet di Fortra GoAnywhere MFT. Questa falla permette agli aggressori di generare una risposta di licenza falsificata, attraverso la quale possono iniettare ed eseguire comandi arbitrari [CWE-77]. Al momento non ci sono prove di sfruttamento in the wild; tuttavia, va ricordato che in passato Fortra GoAnywhere è già stato un bersaglio privilegiato di attacchi ransomware. Nel 2023, ad esempio, la vulnerabilità CVE-2023-0669 (CVSS 7.2) è stata sfruttata dal gruppo Clop, causando numerose violazioni di alto profilo. Per CVE-2025-10035 non esistono ancora proof-of-concept pubblici, anche se è disponibile un’analisi tecnica approfondita. Tuttavia, questa non descrive una catena di exploit completa: alcuni passaggi restano ancora non confermati.

La CVE-2025-10035 ha già attirato l’attenzione di diversi CERT nazionali, che hanno emesso avvisi ufficiali: il Canadian Centre for Cyber Security[1], il NCSC-NL dei Paesi Bassi [2] e il CERT-In dell’India [3]. Anche il BSI tedesco ha pubblicato un avviso [WID-SEC-2025-2090], attribuendo alla vulnerabilità un punteggio CVSS temporaneo di 8,7. Questo punteggio riflette lo stato di sfruttamento non ancora verificato (E:U), la disponibilità di soluzioni ufficiali (RL:O), e un’elevata fiducia nella qualità del report (RC:C).

Un rilevamento remoto di versione è stato prontamente integrato nell’OPENVAS ENTERPRISE FEED di Greenbone. In questo modo i team di difesa possono individuare rapidamente le istanze vulnerabili di Fortra GoAnywhere MFT.

Valutazione del rischio per CVE-2025-10035 in Fortra GoAnywhere

Secondo la classificazione CVSS 10, la vulnerabilità CVE-2025-10035 rappresenta un rischio estremamente elevato se la console di amministrazione di GoAnywhere è collegata a Internet. L’analisi evidenzia che la complessità dell’attacco è bassa, non è necessaria alcuna interazione dell’utente e lo sfruttamento della falla potrebbe portare all’acquisizione completa del sistema.

Tuttavia, l’esposizione pubblica non è un prerequisito per lo sfruttamento. Anche le istanze presenti su reti private potrebbero essere vulnerabili a minacce interne o a trusted third party [T1199]. Secondo il Data Breach Investigations Report (DBIR) 2025 di Verizon, l’uso improprio dei privilegi (descritto come schemi malevoli da parte di minacce interne) è stato la causa principale dell’8% delle violazioni analizzate a partire dal 2024. Si tratta di una percentuale significativa, che evidenzia come anche le vulnerabilità non esposte al pubblico rappresentino una minaccia per la resilienza informatica.

Analisi tecnica del CVE-2025-10035 in Fortra GoAnywhere

Il License Servlet di GoAnywhere gestisce l’attivazione dei pacchetti di licenza MFT durante le operazioni di configurazione, rinnovo e migrazione. Durante queste operazioni il servlet effettua la deserializzazione Java di un oggetto firmato, il cosiddetto “SignedObject”). In presenza della vulnerabilità CVE-2025-10035, questo processo di deserializzazione può portare a esecuzione remota di codice (RCE).

L’analisi di Watchtowr evidenzia un difetto di pre‑autenticazione nel processo di licenza: la pagina Unlicensed.xhtml può restituire un token di autenticazione valido anche quando l’istanza è già attivata con una licenza valida. Una richiesta HTTP GET non corretta al percorso
/goanywhere/license/Unlicensed.xhtml/x? genera erroneamente un token di richiesta di licenza valido e lo restituisce crittografato all’interno di un oggetto dati serializzato. La causa risiede nella gestione degli errori: l’ AdminErrorHandlerServlet crea internamente un token di richiesta di licenza, lo associa alla sessione non autenticata e lo include nell’oggetto dati serializzato inviato all’utente. Quel pacchetto è cifrato con una chiave hard‑coded che può essere estratta e usata offline per decriptare l’oggetto e recuperare il GUID del token di autenticazione in chiaro.

Una volta recuperato il token GUID, un aggressore non autenticato può usarlo per chiamare l’endpoint Licence Servlet POST /goanywhere/lic/accept/<GUID>?…&bundle=<payload> e inviare un payload serializzato e malevolo. Tuttavia, il meccanismo concreto che permetterebbe la deserializzazione del payload rimane incerto: il payload inviato all’endpoint deve infatti risultare firmato con la chiave privata valida di Fortra. I ricercatori indicano due possibili scenari che spiegherebbero lo sfruttamento pratico della vulnerabilità: o la chiave privata è stata sottratta, oppure payload malevoli sono stati erroneamente firmati con la chiave privata di Fortra.

Mitigazione di CVE-2025-10035 in Fortra GoAnywhere

Fortra ha pubblicato un avviso di sicurezza [FI-2025-012] con istruzioni per mitigare la vulnerabilità CVE-2025-10035. La soluzione definitiva consiste nell’aggiornamento a una versione corretta: 7.8.4 (ultima) o 7.6.3 (Sustain). In alternativa, è possibile adottare una misura temporanea limitando l’accesso alla console di amministrazione.

Fortra raccomanda inoltre a tutti gli utenti di cercare Indicatori di Compromissione (IoC), come voci nei log che segnalano errori relativi a SignedObject.getObject. La presenza di questa stringa rappresenta un forte indicatore che l’istanza potrebbe essere stata sfruttata da aggressori. Seguendo le best practice, le organizzazioni dovrebbero anche considerare di informare clienti e altre parti interessate sullo stato delle proprie istanze e sulle eventuali azioni correttive intraprese.

Riepilogo

CVE-2025-10035 è una vulnerabilità di deserializzazione con punteggio CVSS 10 in GoAnywhere MFT, che può consentire esecuzione remota di codice (RCE) senza autenticazione. Nel 2023 un’altra vulnerabilità di GoAnywhere MFT è stata sfruttata su larga scala e diversi CERT nazionali hanno emesso avvisi, confermando l’alto rischio associato al software. L’OPENVAS ENTERPRISE FEED offre già un controllo della versione per individuare le istanze vulnerabili all’interno dell’infrastruttura. Gli utenti finali devono identificare le istanze esposte pubblicamente o distribuite localmente e applicare le patch disponibili con la massima urgenza.