Microsoft: Kritisk GoAnywhere-bugg utnyttjad i ransomwareattacker

Allvarlig sårbarhet i GoAnywhere MFT

Sårbarheten, spårad som CVE-2025-10035, påverkar Fortras webbaserade filöverföringsverktyg GoAnywhere MFT. Felet ligger i hur programmet hanterar data i komponenten License Servlet — ett så kallat deserialiseringsfel som kan utnyttjas på distans utan att användaren behöver göra något, rapporterar Bleeping computer. 

Enligt Shadowserver Foundation övervakas just nu över 500 GoAnywhere MFT-instanser som är exponerade online, men det är oklart hur många som faktiskt har hunnit uppdateras. Fortra släppte en säkerhetsuppdatering redan den 18 september, utan att nämna några aktiva attacker. En vecka senare slog dock WatchTowr Labs fast att sårbarheten redan utnyttjades ”i det vilda” efter att de fått trovärdiga bevis på att den använts som en zero-day sedan den 10 september.

Microsoft bekräftar aktivt utnyttjande

Nu bekräftar Microsoft rapporten från WatchTowr Labs och uppger att en känd Medusa-aktör, spårad som Storm-1175, utnyttjat sårbarheten i attacker sedan minst den 11 september.

”Microsoft Defender-forskare har identifierat aktivitet i flera organisationer som stämmer överens med taktiker och metoder kopplade till Storm-1175”, skriver företaget.

Läs också: Nvidia passerade 4 000 miljarder dollar

För att ta sig in använde angriparna sårbarheten i GoAnywhere MFT. När de väl fått tillgång upprätthöll de kontrollen genom att missbruka fjärradministrationsverktyg som SimpleHelp och MeshAgent.

Så gick attackerna till

När angriparna fått fotfäste startade de fjärrstyrningsprogrammen och använde verktyget Netscan för att kartlägga nätverket. De körde sedan kommandon för att identifiera användare och system, och rörde sig vidare genom nätverket via Microsoft Remote Desktop Connection (mstsc.exe).

Under attacken använde de även Rclone för att stjäla filer från offrens miljöer innan de slutligen krypterade systemen med Medusa-ransomware.

Hundratals organisationer drabbade tidigare

I mars gick CISA, FBI och MS-ISAC ut med en gemensam varning om att Medusa-gruppen hade attackerat över 300 kritiska organisationer i USA.

Läs också: Apple vill köpa F1-rättigheterna

Microsoft har tidigare kopplat Storm-1175 till flera andra cyberkriminella grupper som utnyttjat en VMware ESXi-sårbarhet under 2024, vilket ledde till spridning av ransomware som Akira och Black Basta.

Microsoft och Fortra: Uppdatera omedelbart

För att skydda sig uppmanar Microsoft och Fortra alla administratörer att omedelbart uppdatera sina GoAnywhere MFT-servrar till den senaste versionen.

Fortra rekommenderar även att kunder kontrollerar sina loggfiler efter felmeddelanden som innehåller strängen SignedObject.getObject, vilket kan tyda på att systemet redan har påverkats.

Ny varningssignal för IT-säkerheten

Den här händelsen är ännu ett exempel på hur snabbt cyberkriminella kan agera när nya sårbarheter upptäcks. Att en bugg utnyttjas i attacker redan dagar efter att den hittats visar hur viktigt det är att patcha system så fort som möjligt – särskilt när det gäller verktyg som hanterar känslig data.

Läs också: Samsung fortsätter med galna priser

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns