Một khai thác zero-day GoAnywhere MFT nghiêm trọng trong License Servlet hiện đang bị lợi dụng tích cực để triển khai mã độc ransomware Medusa.

Vào ngày 18 tháng 9 năm 2025, Fortra đã phát hành khuyến nghị công bố CVE-2025-10035, một lỗi deserialization với điểm CVSS hoàn hảo là 10.0.

Chi tiết kỹ thuật về CVE-2025-10035 và Tác động

Lỗ hổng CVE-2025-10035 tồn tại trong các phiên bản GoAnywhere MFT cho đến 7.8.3.

Lỗi này cho phép kẻ tấn công giả mạo chữ ký phản hồi cấp phép và bỏ qua quá trình xác minh chữ ký.

Bằng cách gửi một phản hồi được tạo sẵn, kẻ tấn công kích hoạt deserialization của các đối tượng tùy ý do chúng kiểm soát.

Quá trình này cho phép chèn lệnh và thực thi mã từ xa hoàn toàn (RCE).

Vì lỗ hổng có thể bị khai thác mà không cần xác thực khi các phản hồi hợp lệ được tạo hoặc chặn,

bất kỳ triển khai GoAnywhere nào tiếp xúc với internet đều phải đối mặt với rủi ro nghiêm trọng từ khai thác zero-day GoAnywhere MFT.

Hệ quả của việc khai thác

Khai thác thành công cấp cho kẻ tấn công khả năng chạy các lệnh khám phá hệ thống và người dùng.

Nó cũng cho phép cài đặt các công cụ bổ sung để di chuyển ngang trong mạng. Đây là một CVE nghiêm trọng.

Hoạt động Khai thác Zero-Day GoAnywhere MFT của Storm-1175

Microsoft Threat Intelligence đã xác định hoạt động khai thác zero-day GoAnywhere MFT bắt đầu từ ngày 11 tháng 9 năm 2025.

Các tác nhân đe dọa được theo dõi là Storm-1175 đã lạm dụng vấn đề này để giành quyền remote code execution (RCE) trên các hệ thống bị lộ, dẫn đến sự xâm nhập rộng rãi.

Chiến dịch của Storm-1175 tuân theo một mô hình nhiều giai đoạn nhất quán.

Để biết thêm thông tin chi tiết về các hoạt động này, tham khảo báo cáo của Microsoft Threat Intelligence tại Microsoft Security Blog.

Hướng dẫn Giảm thiểu và Bảo vệ

Để phòng thủ chống lại mối đe dọa này, các tổ chức nên nâng cấp ngay lập tức GoAnywhere MFT lên phiên bản đã được vá lỗi mới nhất theo khuyến nghị của Fortra.

Cần lưu ý rằng việc vá lỗi không xóa bỏ các cuộc khai thác đã xảy ra trước đó.

Do đó, điều tra kỹ lưỡng các hệ thống nghi ngờ bị xâm nhập là điều cần thiết để đảm bảo an toàn.

Kiểm soát Mạng và Giám sát Liên tục

• Hạn chế truy cập internet ra bên ngoài cho các máy chủ để ngăn chặn tải xuống độc hại và giao tiếp C2 (Command and Control).
• Triển khai giải pháp phát hiện và phản hồi điểm cuối (EDR) ở chế độ chặn để đảm bảo mọi tạo phẩm độc hại đều bị dừng lại. Điều này hiệu quả ngay cả khi chúng vượt qua quét chống vi-rút.
• Kích hoạt điều tra và khắc phục tự động để cho phép phản ứng nhanh chóng với các cảnh báo bảo mật.
• Bật các quy tắc giảm thiểu bề mặt tấn công (ASR) để chặn các phương pháp mã độc ransomware phổ biến. Các quy tắc này bao gồm ngăn chặn tạo web shell và hạn chế khởi chạy các tệp thực thi dựa trên số liệu tin cậy.
• Sử dụng giải pháp quản lý bề mặt tấn công bên ngoài để phát hiện các trường hợp GoAnywhere MFT chưa được vá trong môi trường của bạn.
• Liên tục giám sát lưu lượng truy cập của License Servlet để phát hiện các lỗi xác minh chữ ký đáng ngờ, đây có thể là dấu hiệu của khai thác zero-day GoAnywhere MFT.

Tận dụng các Công cụ Bảo mật Nâng cao để đối phó với khai thác zero-day GoAnywhere MFT

Tận dụng khả năng quản lý lỗ hổng và XDR (Extended Detection and Response) của Microsoft Defender để phát hiện các thiết bị dễ bị tấn công.

Hệ thống này cũng cảnh báo về các nỗ lực khai thác và phối hợp phát hiện, phản ứng trên toàn bộ môi trường.

Bằng cách kết hợp vá lỗi nhanh chóng, kiểm soát mạng chặt chẽ và bảo mật điểm cuối nâng cao, các tổ chức có thể giảm thiểu rủi ro.

Điều này cũng giúp làm gián đoạn các chiến dịch mã độc ransomware Medusa của Storm-1175, vốn phụ thuộc vào khai thác zero-day GoAnywhere MFT.