数千家使用Fortra GoAnywhere托管文件传输(MFT)解决方案的公司正面临系统被全面接管的直接威胁。该漏洞正式编号为CVE-2025-10035，于2025年9月18日发布，最高风险评分为10.0，这意味着犯罪分子可能完全控制用于处理敏感组织数据的系统。

这个关键问题的根源在于Fortra的GoAnywhere MFT的License Servlet，这是一个处理许可证检查的组件。它本质上是一个反序列化漏洞。简而言之，企业使用 MFT 解决方案在系统之间安全可靠地传输大量电子数据（例如客户记录/财务信息）。该软件将复杂的数据转换为简单的格式以便传输（序列化），然后再将其转换回来（反序列化）。

Fortra的建议解释说，该漏洞允许恶意人员在逆向（反序列化）过程中，通过使用“有效伪造的许可证响应签名”来加载有害对象，从而欺骗软件。这可能导致命令注入，使攻击者能够在系统上运行自己的代码。

需要说明的是，GoAnywhere MFT是一款高安全性解决方案，可自动化并保护企业（包括财富500强企业）的数据交换。因此，此漏洞可能使攻击者控制整个文件传输基础设施，从而危及高度敏感的公司和政府数据。

watchTowr Labs分享的长篇技术分析凸显了形势的严峻性，并指出“有超过2万个实例暴露在互联网上。这简直就是APT组织梦寐以求的游乐场。”

他们的分析揭示了一个重大谜团：尽管CVSS评分高达10.0，但由于需要签名验证，利用该漏洞在理论上似乎非常困难。然而，高评分加上供应商删除并更新安全公告的做法，表明该威胁确实存在，因为“没有供应商会给一个纯粹理论上的漏洞打CVSS 10分”。

这不是我们第一次见到这种情况；早在2023年，同一产品中类似的预身份验证命令注入漏洞（CVE-2023-0669）就被cl0p勒索软件团伙广泛利用。

好消息是，Fortra已发布7.8.4版和Sustain Release 7.6.3版更新来修复该漏洞。强烈建议各组织立即升级到这些已修复的版本之一。

值得注意的是，这种攻击依赖于系统直接连接到公共互联网，这种情况在这类软件中很常见。因此，作为额外的安全措施，管理员应立即确保GoAnywhere管理控制台不向公众开放。通过将服务置于防火墙或VPN后面来限制访问是至关重要的第一步，同时还要监控系统日志以发现任何异常活动。

watchTowr的威胁情报专家Ryan Dewhurst认为这个问题极其严重，他表示：“这个问题几乎肯定会很快被利用来在野外进行攻击。”

他强调说：“Fortra的GoAnywhere MFT解决方案中新披露的漏洞影响管理控制台中的许可证代码路径，与早期的CVE-2023-0669相同，该漏洞在2023年被包括LockBit在内的多个勒索软件和APT组织广泛利用。 ”

Ryan警告说：“随着数以千计的GoAnywhere MFT实例暴露在互联网上，这个问题几乎肯定会很快被利用来在野外进行攻击。”

Dewhurst在分享的评论中指出：“虽然Fortra指出漏洞利用需要外部暴露，但这些系统通常设计为面向互联网，因此组织应该假设它们存在漏洞。组织应立即应用官方补丁，并采取措施限制对管理控制台的外部访问。”