Fortra ha lanzado un parche de emergencia para corregir una vulnerabilidad crítica, CVE-2025-10035, en su software GoAnywhere Managed File Transfer (MFT). La falla, que tiene una puntuación de 10.0 en la escala CVSS, la máxima posible, es un problema de deserialización insegura que permite a los atacantes ejecutar código de forma remota en los servidores afectados.
Detalles técnicos
La vulnerabilidad se encuentra en el Servlet de Licencia de GoAnywhere MFT. Un atacante puede explotarla presentando una respuesta de licencia forjada y firmada, lo que desencadena una inyección de comandos arbitrarios y le da control total sobre el servidor.
El ataque es de alto riesgo porque es un fallo de ejecución de código remoto (RCE) que no requiere privilegios previos ni interacción del usuario, y puede llevarse a cabo de forma remota si la consola de administración está expuesta a internet.
Versiones afectadas y parche
Las versiones vulnerables de GoAnywhere MFT han sido parcheadas a las versiones 7.8.4 (y la 7.6.3 para la rama de mantenimiento). Si no se puede actualizar de inmediato, Fortra recomienda restringir el acceso a la Consola de administración de manera temporal, colocándola detrás de un firewall o una VPN para reducir el riesgo.
Importancia y riesgo
GoAnywhere MFT es un producto muy utilizado por grandes empresas, incluidas algunas de las Fortune 500, para transferir archivos sensibles. La vulnerabilidad es similar en su zona de impacto a CVE-2023-0669, la cual fue explotada por grupos de ransomware como Clop en el pasado. Aunque Fortra no ha confirmado la explotación activa en el momento, los expertos prevén que es muy probable que se aproveche pronto.
Recomendaciones
- Para protegerte de esta amenaza, se recomienda a las organizaciones que utilizan GoAnywhere MFT:
- Actualizar de inmediato a las versiones 7.8.4 o 7.6.3.
- Verifique la accesibilidad de la Consola de administración y bloquee el acceso si está expuesto públicamente.
- Auditar los accesos administrativos y monitorear los registros del sistema en busca de intentos de licencias forjadas o actividad sospechosa.
