Una falla critica nel CVSS 10 nel trasferimento file GoAnywhere minaccia 20.000 sistemi

Migliaia di aziende che utilizzano la soluzione GoAnywhere Managed File Transfer ( MFT ) di Fortra si trovano ad affrontare una minaccia immediata di acquisizione completa del sistema. Il problema, ufficialmente etichettato CVE-2025-10035 e pubblicato il 18 settembre 2025, presenta un punteggio di rischio massimo di 10,0, il che significa che i criminali potrebbero ottenere il controllo completo dei sistemi progettati per gestire dati aziendali sensibili.

Questo problema critico è radicato nel License Servlet di GoAnywhere MFT di Fortra, un componente che gestisce i controlli delle licenze. Si tratta essenzialmente di una vulnerabilità di deserializzazione . In parole povere, le soluzioni MFT vengono utilizzate dalle aziende per spostare in modo sicuro e affidabile grandi quantità di dati elettronici (come registri dei clienti/informazioni finanziarie) tra i sistemi. Il software converte i dati complessi in un formato semplice per il trasferimento (serializzazione) e poi li riconverte (deserializzazione).

La falla consente a un malintenzionato di ingannare il software durante il processo di inversione (deserializzazione) utilizzando una "firma di risposta di licenza validamente falsificata" per caricare un oggetto dannoso, spiega l'avviso di Fortra. Ciò può portare a un'iniezione di comandi , consentendo a un aggressore di eseguire il proprio codice sul sistema.

Per vostra informazione, GoAnywhere MFT è una soluzione ad alta sicurezza che automatizza e protegge lo scambio di dati per le aziende, comprese le aziende Fortune 500. Questa falla potrebbe quindi consentire a un aggressore di impadronirsi dell'intera infrastruttura di trasferimento file, mettendo a rischio dati aziendali e governativi altamente sensibili.

Secondo una lunga analisi tecnica di watchTowr Labs, condivisa con Hackread.com, la gravità della situazione è stata evidenziata, con l'evidenza che "oltre 20.000 casi sono esposti a Internet. Un parco giochi che i gruppi APT sognano".

La loro analisi evidenzia un mistero significativo: nonostante il punteggio CVSS 10.0 perfetto, sfruttare il bug sembra difficile sulla carta a causa di un controllo di verifica della firma obbligatorio. Tuttavia, l'elevato punteggio, combinato con l'eliminazione e l'aggiornamento degli avvisi da parte del fornitore, suggerisce che la minaccia sia molto concreta, poiché "nessun fornitore assegna un punteggio CVSS 10 a un bug puramente teorico".

Non è la prima volta che assistiamo a una situazione simile: nel 2023, un difetto simile di iniezione di comandi di pre-autenticazione ( CVE-2023-0669 ) nello stesso prodotto è stato ampiamente sfruttato dal gruppo ransomware cl0p .

La buona notizia è che Fortra ha rilasciato gli aggiornamenti 7.8.4 e Sustain Release 7.6.3 per correggere la falla. Si consiglia vivamente alle aziende di effettuare immediatamente l'aggiornamento a una di queste versioni corrette.

È importante notare che questo attacco si basa sulla connessione diretta del sistema alla rete Internet pubblica, una situazione comune per questo tipo di software. Pertanto, come ulteriore misura di sicurezza, gli amministratori dovrebbero assicurarsi immediatamente che la Console di amministrazione di GoAnywhere non sia accessibile al pubblico. Limitare l'accesso posizionando il servizio dietro un firewall o una VPN è un primo passo fondamentale, insieme al monitoraggio dei log di sistema per rilevare eventuali attività insolite.

Ryan Dewhurst , esperto di intelligence sulle minacce presso watchTowr, ritiene la questione estremamente seria, affermando: "È quasi certo che questo problema verrà presto sfruttato indiscriminatamente".

"La vulnerabilità recentemente rivelata nella soluzione GoAnywhere MFT di Fortra ha un impatto sullo stesso percorso del codice di licenza nella console di amministrazione della precedente vulnerabilità CVE-2023-0669, ampiamente sfruttata da numerosi gruppi ransomware e APT nel 2023, tra cui LockBit " , ha sottolineato.

"Con migliaia di istanze di GoAnywhere MFT esposte a Internet, è quasi certo che questo problema verrà presto sfruttato indiscriminatamente " , ha avvertito Ryan.

"Sebbene Fortra sottolinei che lo sfruttamento richiede l'esposizione esterna, questi sistemi sono generalmente progettati per essere connessi a Internet, quindi le organizzazioni dovrebbero presumere che siano vulnerabili. Le organizzazioni dovrebbero applicare immediatamente le patch ufficiali e adottare misure per limitare l'accesso esterno alla Console di amministrazione", ha osservato Dewhurst nei suoi commenti condivisi con Hackread.com.