Falha crítica no GoAnywhere MFT permite ataques com Medusa Ransomware

Uma vulnerabilidade crítica descoberta no GoAnywhere MFT, software de transferência gerenciada de arquivos da Fortra, está sendo ativamente explorada para implantar o Medusa ransomware em empresas ao redor do mundo.

A falha, identificada como CVE-2025-10035, foi divulgada pela Fortra em 18 de setembro de 2025 e recebeu a pontuação máxima de 10.0 no CVSS, indicando risco extremo.

O problema afeta o License Servlet, um componente responsável pela validação de licenças do sistema, e permite que invasores executem código remoto (RCE) sem autenticação.

Entendendo a falha CVE-2025-10035

A vulnerabilidade está presente em versões do GoAnywhere MFT até 7.8.3 e decorre de uma falha de desserialização no processo de validação de licenças.

Em termos simples, um invasor pode forjar uma resposta de licença falsa, burlando a verificação de assinatura. Essa resposta manipulada faz com que o sistema processe objetos maliciosos permitindo que comandos arbitrários sejam executados no servidor.

Ou seja, basta enviar um pacote cuidadosamente criado para o servidor vulnerável e o atacante ganha acesso total à máquina, podendo executar comandos, instalar backdoors ou movimentar-se lateralmente na rede.

Como a exploração dispensa autenticação, qualquer instância exposta à internet está em risco imediato.

Como o grupo Storm-1175 está explorando a falha

A equipe de Threat Intelligence da Microsoft detectou o grupo Storm-1175 explorando ativamente o bug desde 11 de setembro de 2025. Os ataques seguem um padrão metódico e bem estruturado:

1. Acesso inicial: o grupo explora a falha de desserialização para obter acesso remoto (RCE).
2. Persistência: instalam ferramentas de administração remota como SimpleHelp e MeshAgent, além de web shells .jsp dentro dos diretórios do GoAnywhere.
3. Reconhecimento: executam comandos como whoami, systeminfo e net user para mapear o ambiente e identificar alvos internos.
4. Movimentação lateral: utilizam sessões RDP com o mstsc.exe para se deslocar entre máquinas.
5. Comando e controle: estabelecem canais persistentes via RMM e Cloudflare Tunnel para ocultar o tráfego.
6. Exfiltração: usam a ferramenta Rclone para transferir dados sensíveis roubados.
7. Ataque final: instalam e executam o Medusa ransomware, criptografando arquivos e exigindo pagamento pelo resgate.

Esse fluxo demonstra um ataque multiestágio, combinando técnicas avançadas com ferramentas legítimas para dificultar a detecção.

Como se proteger

A Fortra já lançou versões corrigidas do GoAnywhere MFT que eliminam o vetor de exploração. Atualizar imediatamente é a ação mais importante para reduzir o risco.

Mas como as correções não removem compromissos anteriores, é fundamental investigar qualquer atividade suspeita.

Passos de mitigação recomendados

• Atualize o GoAnywhere MFT para a versão mais recente disponibilizada pela Fortra.
• Revise o arquivo de configuração do License Servlet e verifique logs para detectar requisições incomuns.
• Bloqueie o acesso externo ao License Servlet, mantendo-o restrito à rede interna.
• Implante EDR (Endpoint Detection and Response) em modo de bloqueio para impedir execução de cargas maliciosas.
• Ative regras de redução de superfície de ataque (ASR) para bloquear a criação de web shells e execuções suspeitas.
• Monitore tráfego de saída para identificar conexões com ferramentas como Rclone ou túneis não autorizados.
• Use soluções de XDR e vulnerabilidade management, como o Microsoft Defender, para detectar dispositivos afetados e coordenar resposta.

Além disso, recomenda-se o uso de uma plataforma de gestão de superfície de ataque (ASM) para localizar instâncias vulneráveis expostas na internet.

Vulnerabilidade GoAnywhere MFT

Certamente caros leitores(a) a vulnerabilidade CVE-2025-10035 no GoAnywhere MFT é um exemplo claro de como falhas em sistemas de infraestrutura crítica podem se transformar em vetores de ransomware sofisticados.

Com exploração ativa e automação crescente por grupos como o Storm-1175, cada minuto sem aplicar o patch aumenta o risco de uma invasão total.

Atualizar, monitorar e segmentar acessos são medidas urgentes a diferença entre manter o controle da sua rede ou entregá-la nas mãos de cibercriminosos.