Microsoft detecta ransomware explorando vulnerabilidade em GoAnywhere MFT

São Paulo — InkDesign News — Uma vulnerabilidade de desserialização com CVSS 10.0 na solução GoAnywhere Managed File Transfer (MFT) da Fortra está sendo ativamente explorada pelo grupo de ransomware Medusa, conforme uma atualização do Microsoft Threat Intelligence datada de 6 de outubro de 2025.

Incidente e vulnerabilidade

A falha, identificada como CVE-2025-10035, permite a execução remota de código não autenticada (RCE), possibilitando que atacantes tomem o controle total do sistema. A vulnerabilidade reside no Servlet de Licença do MFT, onde a forja de assinaturas de resposta pode contornar as verificações de segurança e executar código malicioso. Esta capacidade de RCE a torna uma ameaça significativa para todas as instâncias expostas da solução GoAnywhere.

Impacto e resposta

A Fortra publicou um alerta e um patch em 18 de setembro de 2025; no entanto, pesquisadores de segurança da watchTowr Labs relataram atividade de exploração que remonta a 10 de setembro de 2025, uma semana antes do aviso público. A análise pós-exploração revela que, após conseguir RCE, os atacantes estabeleceram persistência criando uma conta administrativa oculta denominada ‘admin-go’. Além disso, foram observados usando ferramentas de gerenciamento remoto (RMM) como SimpleHelp e MeshAgent para movimentação lateral e exfiltração de dados.

Ao detalhar o ataque em múltiplas etapas, a Microsoft confirmou que a exploração da vulnerabilidade levou a injeções de comandos e a implementação bem-sucedida do ransomware Medusa em pelo menos um ambiente comprometido.
(“In detailing this multi-stage attack, Microsoft confirmed the vulnerability exploitation led to command injection and the successful deployment of Medusa ransomware in at least one compromised environment.”)

— Microsoft Threat Intelligence

Mitigações recomendadas

Fortra aconselhou os clientes a atualizar para as versões corrigidas: 7.8.4 ou a Sustentação 7.6.3. A natureza severa da vulnerabilidade levou à sua inclusão no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA. Todas as organizações com sistemas expostos devem aplicar o patch imediatamente e realizar uma revisão forense completa para determinar se ocorreu um comprometimento inicial antes da aplicação da atualização.

As organizações que utilizam GoAnywhere MFT “efetivamente têm estado sob ataque silencioso desde pelo menos 11 de setembro, com pouca clareza da Fortra.”
(“have effectively been under silent assault since at least September 11, with little clarity from Fortra.”)

— Benjamin Harris, CEO e Fundador da watchTowr

Os riscos residuais permanecem, exigindo um monitoramento contínuo e a implementação de boas práticas de segurança para prevenir futuros incidentes. A conscientização sobre vulnerabilidades e a resposta adequadas são cruciais nos próximos passos para garantir a integridade dos sistemas afetados.

Fonte: (Hack Read – Segurança Cibernética)