Archetyp Links

I ricercatori di Microsoft hanno confermato l'utilizzo malevolo di una vulnerabilità classificata con il punteggio massimo di gravità in GoAnywhere MFT, una soluzione per il trasferimento sicuro di file prodotta da Fortra. La falla, catalogata come CVE-2025-10035, è stata sfruttata dal gruppo criminale Storm-1175, noto per le sue connessioni con il ransomware Medusa e per la sua specializzazione negli attacchi a sistemi esposti pubblicamente. Quello che emerge dalle indagini è un quadro preoccupante di attacchi silenziosi che hanno colpito diverse organizzazioni dal mese di settembre, sollevando interrogativi sulla trasparenza delle aziende di cybersecurity quando si verificano exploit attivi. Il bug da 10/10 che apre le porte ai criminali La vulnerabilità al centro della tempesta è una falla di deserializzazione che permette agli attaccanti di ingannare il License Servlet di GoAnywhere MFT, il componente responsabile della verifica delle licenze. I criminali informatici possono falsificare una risposta di licenza che supera i controlli di verifica della firma, costringendo il sistema a deserializzare oggetti Java controllati dall'attaccante. Questo processo apre la strada all'iniezione di comandi e all'esecuzione remota di codice, creando essenzialmente una porta d'accesso privilegiata al sistema compromesso. Ti potrebbe interessare anche Guarda su Fortra aveva reso pubblica l'esistenza del bug il 18 settembre, assegnandogli il punteggio massimo di 10.0 sulla scala CVSS. L'azienda aveva avvertito che una volta sfruttata la vulnerabilità, i malintenzionati potevano esplorare il sistema compromesso, installare backdoor per garantirsi accessi a lungo termine e distribuire strumenti per il movimento laterale nella rete. Storm-1175: anatomia di un attacco ransomware Le attività malevole di Storm-1175 sono state individuate dai ricercatori Microsoft l'11 settembre, quando il gruppo ha iniziato a sfruttare la falla come zero-day, ovvero prima che fosse resa pubblica. La strategia d'attacco seguita dai criminali rivela una metodologia sofisticata: dopo aver ottenuto l'accesso iniziale attraverso la vulnerabilità di deserializzazione, hanno utilizzato i processi di GoAnywhere MFT per distribuire SimpleHelp e MeshAgent, due strumenti di monitoraggio e gestione remota che garantiscono persistenza nel sistema. I criminali hanno creato file .jsp e posizionato i binari RMM direttamente sotto il processo GoAnywhere MFT Il gruppo ha poi eseguito comandi di ricognizione per identificare utenti e caratteristiche del sistema, utilizzato netscan per la scoperta della rete e ottenuto il movimento laterale attraverso mstsc.exe. Per stabilire comunicazioni sicure con i server di comando e controllo, gli attaccanti hanno configurato un tunnel Cloudflare, mentre per copiare ed esfiltriare i dati hanno impiegato Rclone, almeno in uno degli ambienti compromessi. Il silenzio che preoccupa gli esperti Nonostante le conferme di Microsoft sullo sfruttamento attivo della vulnerabilità, Fortra continua a non fornire dettagli pubblici sull'abuso in corso di CVE-2025-10035. Questa mancanza di trasparenza ha sollevato critiche da parte degli esperti di sicurezza, in particolare da Benjamin Harris, CEO e fondatore di WatchTowr, che già a settembre aveva criticato l'azienda per la scarsa condivisione di informazioni. Harris ha commentato che il report di Microsoft "ha confermato quello che temevamo. Le organizzazioni che utilizzano GoAnywhere MFT sono state effettivamente sotto attacco silenzioso almeno dall'11 settembre, con poca chiarezza da parte di Fortra". L'esperto sottolinea come manchi ancora la risposta a domande fondamentali che solo Fortra può fornire: come hanno ottenuto gli attaccanti le chiavi private necessarie per sfruttare la vulnerabilità e perché le organizzazioni sono state tenute all'oscuro per così tanto tempo. L'urgenza di proteggere i sistemi esposti Microsoft ha sottolineato che Storm-1175 ha colpito "multiple organizzazioni" senza specificare il numero esatto o se le attività malevole siano ancora in corso. In almeno un ambiente compromesso, i ricercatori hanno osservato la distribuzione del ransomware Medusa, confermando che gli attacchi non si limitano all'accesso iniziale ma puntano alla compromissione totale dei sistemi. L'azienda di Redmond raccomanda l'aggiornamento immediato alle versioni corrette e, considerando che lo sfruttamento dipende principalmente dall'esposizione dei sistemi a internet, suggerisce di limitare immediatamente l'accesso alla Console Admin di GoAnywhere. La natura della vulnerabilità e la conferma del suo sfruttamento attivo rendono questa una priorità assoluta per tutte le organizzazioni che utilizzano la soluzione di Fortra.