Trusted Design

解説:

CVE-2025-10035に関する調査結果を以下にまとめます。

1. 脆弱性の概要

CVE-2025-10035は、Fortra社のGoAnywhere MFT (Managed File Transfer) のLicense Servlet Admin Consoleにおける重大なデシリアライズ脆弱性です。攻撃者は、偽造されたライセンス応答署名を作成することで署名検証を回避し、任意の攻撃者制御オブジェクトのデシリアライズを可能にします。これにより、コマンドインジェクションやリモートコード実行 (RCE) が発生する可能性があります。

1.1 影響

本脆弱性が悪用されると、攻撃者は影響を受けるシステム上でコマンドインジェクションやリモートコード実行 (RCE) を行うことができます。 攻撃者はシステムおよびユーザーの探索、長期的なアクセス維持、横展開のための追加ツールの展開、マルウェア（例：Medusaランサムウェア）の展開を実行する可能性があります。 また、データ損失、風評被害、規制上の問題も発生するリスクがあります。

1.2 深刻度

本脆弱性の深刻度は「Critical（緊急）」であり、CVSSスコアは最高値の10.0と評価されています。 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）の既知の悪用されている脆弱性（KEV）カタログにも追加されており、実環境での積極的な悪用が確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

特定のOSバージョンは言及されていませんが、GoAnywhere MFTのアプリケーション自体に存在する脆弱性であるため、GoAnywhere MFTが動作するOS全てに影響が及ぶ可能性があります。

2.2 影響を受ける設定

Fortra GoAnywhere MFTのLicense Servlet Admin Consoleのバージョン7.8.3までが影響を受けます。 攻撃者が有効なライセンス応答を作成または傍受できる場合、認証なしで悪用が可能であるため、インターネットに公開されているインスタンスは特に危険です。

3. 影響を受けた時の兆候

以下のような兆候が影響を受けたシステムの存在を示唆する可能性があります。

• GoAnywhere MFTの悪用を示す不審なPowerShellまたはcmd.exeコマンド。 EDRソリューション（例：Microsoft Defender for Endpoint）で「GoAnywhere MFT脆弱性の悪用の可能性」として検出されることがあります。
• GoAnywhere MFTプロセス配下にRemote Monitoring and Management (RMM) ツール（例：SimpleHelpやMeshAgent）が配置されている。
• MFTディレクトリ内に.jspウェブシェルが作成されている。
• ユーザーおよびシステムの探索活動、netscanなどのツールを使用したネットワークスキャン。
• mstsc.exeを介した横展開の試み。
• Command and Control (C2) にCloudflareトンネルが使用されている。
• Rcloneなどのツールを使用したデータ窃取。
• バックドア管理アカウント（例：admin-go）やウェブユーザーが作成されている。

4. 推奨対策

4.1 本対策

• GoAnywhere MFTを直ちに最新バージョンにパッチ適用し、アップグレードしてください。FortraはGoAnywhere MFT 7.8.4、またはSustain Release 7.6.3へのアップグレードを推奨しています。
• ライセンス検証メカニズムの見直しを行ってください。
• 過去に悪用された可能性のあるシステムについて、永続化の痕跡（RMMツール、ウェブシェル、バックドアアカウントなど）がないか監査を実施してください。

4.2 暫定回避策（緩和策）

• GoAnywhere MFT環境を不審な活動がないか綿密に監視してください。
• IDS/EDRを使用してスキャン動作の検出を強化してください。
• 到達性を制限するために、ゼロトラストのセグメンテーションを導入してください。
• EDRの「ブロックモード」を有効にして、悪意のある動作やファイルを即座に実行阻止するように設定してください。
• ASR（Attack Surface Reduction）ルールを使用して、信頼できない実行ファイルの起動やウェブシェル作成をブロックしてください。
• ファイアウォール/プロキシで、周辺ネットワークからの任意の通信やダウンロードを制限してください。
• もし緩和策が利用できない場合は、製品の使用を中止することを検討してください。

参照したサイト

• Investigating active exploitation of CVE-2025-10035 GoAnywhere Managed File Transfer vulnerability | Microsoft Security Blog
• CVE-2025-10035 Detail - NVD
• CVE-2025-10035 | Tenable®
• CVE Record: CVE-2025-10035
• CVE-2025-10035 Detection: Storm-1175 Exploits a Critical Fortra GoAnywhere MFT Vulnerability to Deploy Medusa Ransomware | SOC Prime
• CVE-2025-10035 検出: Storm-1175 が重大な Fortra GoAnywhere MFT の脆弱性を悪用して Medusa ランサムウェアを展開 | SOC Prime
• Fortra GoAnywhere MFT：デシリアライズの弱点がリモートコード実行への扉を開ける（CVE-2025-10035） | BROAD Security Square (BSS)
• Fortra GoAnywhere MFT攻撃 | アウトブレイクアラート - FortiGuard Labs
• Fortraのファイル転送ソフト「GoAnywhere MFT」に深刻な脆弱性 - Security NEXT
• CVE-2025-10035 の GoAnywhere 脆弱性攻撃に使われるツールを列挙する｜yukiko - note
• GoAnywhereの脆弱性をランサムウェア グループメデューサが悪用-Microsoft レポート - 合同会社ロケットボーイズ
• Critical Vulnerability Alert: CVE-2025-10035 in GoAnywhere MFT - Bitsight
• It Is Bad (Exploitation of Fortra GoAnywhere MFT CVE-2025-10035) - Part 2
• Fortra GoAnywhere MFT代码执行漏洞(CVE-2025-10035) - 北京赛克艾威科技有限公司
• CVE-2025-10035 - Critical unauthenticated RCE in GoAnywhere MFT - Rapid7
• CVE-2025-10035 - Fortra GoAnywhere MFT vulnerability - Broadcom Inc.
• Fortra GoAnywhere MFT: Deserialization Flaw Opens the Door to Remote Code Execution (CVE-2025-10035) | Ridge Security
• Why the GoAnywhere vulnerability exposed the limits of patching - Vectra AI
• Attackers exploited critical Fortra GoAnywhere flaw in zero-day attacks (CVE-2025-10035)
• GoAnywhereの脆弱性悪用した攻撃にMedusaランサムウェアが使われる マイクロソフトが発表：CVE-2025-10035 | Codebook｜Security News
• Critical Vulnerability in Fortra: GoAnywhere MFT - NCSC Advisory

その他に解説すべき観点

• CWE ID: 本脆弱性は、CWE-77（コマンドインジェクション）およびCWE-502（信頼できないデータのデシリアライズ）に関連付けられています。
• 脅威アクター: Microsoft Threat Intelligenceは、「Storm-1175」（Medusaランサムウェアを展開することで知られるサイバー犯罪グループ）が本脆弱性を積極的に悪用していると報告しています。
• 発見時期と公開時期: Fortraは2025年9月18日にセキュリティアドバイザリを公開しました。 しかし、実際には2025年9月10日または11日には既に実環境での悪用が観測されており、アドバイザリ公開前にゼロデイ攻撃として悪用されていました。