La recente scoperta di una grave vulnerabilità in Fortra GoAnywhere Managed File Transfer (MFT), identificata come CVE-2025-10035 e con punteggio CVSS 10, ha destato grande preoccupazione nella comunità della sicurezza informatica. Questo difetto è stato attivamente sfruttato almeno una settimana prima della sua divulgazione pubblica, come confermato dal team di watchTowr Labs, che ha raccolto prove credibili di attacchi iniziati già dal 10 settembre 2025.

La vulnerabilità riguarda un problema di deserializzazione nella componente License Servlet del software GoAnywhere, che consente ad attaccanti non autenticati di eseguire comandi arbitrari sul server. Fortra ha rilasciato rapidamente le versioni 7.8.4 e Sustain Release 7.6.3 per correggere questa criticità, invitando gli utenti ad aggiornare tempestivamente i propri sistemi.

Un’analisi approfondita ha rivelato che lo sfruttamento avviene tramite una richiesta HTTP GET appositamente costruita verso l’endpoint “/goanywhere/license/Unlicensed.xhtml/”, che permette di interagire con la servlet vulnerabile. Questo bypass di autenticazione, combinato con la mancanza di adeguate protezioni di deserializzazione, può portare all’iniezione di comandi. Tuttavia, alcuni dettagli tecnici su come avvenga l’interazione esatta restano ancora oscuri.

Ulteriori dettagli sull’attacco

Secondo ulteriori indagini condotte anche da Rapid7, la falla non dipende solo da un singolo difetto ma da una catena di vulnerabilità:

• un bypass di controllo accessi noto dal 2023
• la deserializzazione insicura (CVE-2025-10035)
• una questione ancora irrisolta legata alla conoscenza di una chiave privata da parte degli attaccanti

Le prove di sfruttamento raccolte mostrano che gli aggressori sono stati in grado di ottenere esecuzione di codice da remoto, creare account amministrativi (“admin-go”), generare nuovi utenti web e caricare ulteriori payload malevoli, tra cui SimpleHelp e un impianto sconosciuto denominato “zato_be.exe”. L’attività malevola è stata ricondotta a un indirizzo IP già noto per attacchi brute-force contro soluzioni Fortinet FortiGate.

Il rischio di sfruttamento diffuso ha portato la CISA americana a richiedere l’applicazione della patch a tutte le agenzie federali entro il 20 ottobre 2025. Fortra ha dichiarato che il problema riguarda soprattutto chi espone la console di amministrazione GoAnywhere su internet, e che sono in corso ulteriori indagini. La situazione, unita al mistero sul reale vettore di exploit, sottolinea l'urgenza di aggiornare immediatamente le installazioni vulnerabili per prevenire danni da parte di ransomware o gruppi APT.