2025 年 9 月,一起针对 Fortra GoAnywhere 管理文件传输(MFT)产品的严重漏洞吸引了安全界高度关注。该漏洞被编号为 CVE-2025-10035,评估得分为 CVSS 10.0,意味着它具备极高的危害性。安全公司 watchTowr Labs 发布分析称有可信证据显示该漏洞自 2025 年 9 月 10 日起已在真实环境中被利用,早于厂商对外公开补丁一周。随后 Rapid7 等安全厂商补充了漏洞成因与利用链的细节,美国网络安全与基础设施安全局 CISA 也确认了在野利用并将其列入关键漏洞清单,要求联邦机构在限定期限前修复。事件为所有使用 GoAnywhere 的组织敲响了紧急警报,也提醒所有企业对外暴露的管理控制面应持续加强防护与监测。 从技术层面来看,CVE-2025-10035 涉及 GoAnywhere 管理控制面中的 License Servlet 组件,其核心风险源于认证绕过与不安全的反序列化处理。
研究者指出,攻击者可以通过向 /goanywhere/license/Unlicensed.xhtml/ 发送特制的 HTTP GET 请求,得到带有 GUID 的响应,从而与内置在 /goanywhere/lic/accept/<GUID> 的 License Servlet 进行交互。借助这一认证绕过通道,攻击者进一步触发了 Servlet 中对反序列化对象处理的不充分防护,最终导致未经认证的远程代码执行风险。Rapid7 在后续分析中认为,这不是单一的反序列化问题,而是一条由多个环节串联的漏洞链,包括一个早在 2023 年就已知的访问控制绕过、CVE-2025-10035 提到的不安全反序列化,以及尚未完全公开的与私钥信息获取相关的问题。 真实世界的利用迹象和攻击链曝光进一步提升了事态的严重性。watchTowr 报告称收集到了堆栈跟踪等利用证据,并描述了攻击者在利用成功后的典型行为模式:触发未认证漏洞以实现远程代码执行,在系统内创建名为 admin-go 的用户账户,利用该账户创建 Web 用户,随后通过 Web 用户上传并运行额外载荷,包括商业远程支持工具 SimpleHelp 与一个名称为 zato_be.exe 的未知植入模块。观察到的攻击源 IP 地址曾在 2025 年 8 月被 VirusTotal 标记为对 Fortinet FortiGate SSL VPN 设备进行暴力破解活动的来源之一,但 watchTowr 表示其蜜罐并未在该 IP 上观察到类似活动。
随后 CISA 正式确认存在在野攻击,并要求相关机构在规定时间内完成补丁部署。 对企业风险的影响不容小觑。GoAnywhere 作为广泛用于跨组织文件交换与敏感数据传输的 MFT 平台,其管理控制台若暴露在公网上,则极易成为攻击者的高价值目标。未授权的远程代码执行不仅可能带来数据泄露,还可能被用于植入后门以便长期维持访问、横向移动至内网其他系统、盗取或破坏备份以及部署勒索软件。攻击者往往通过最初的管理控制面入侵获得持久性入口并扩展权限,给事件响应和取证带来极大挑战。厂商与安全团队在此次事件中也面临额外压力,一方面要迅速向用户发布补丁并提供修复建议,另一方面要及时通报已知利用细节、检测指标与缓解措施以便用户优先处置。
在应对策略上,最紧迫的行动是尽快修补受影响的 GoAnywhere 实例。Fortra 在漏洞披露后发布了修补版本,建议受影响用户升级至官方给出的修复版本或采取厂商建议的缓解措施。对于无法立即打补丁的环境,应当立即将 GoAnywhere 的管理控制台从互联网隔离,仅允许通过受管控的 VPN、跳板主机或零信任访问通道进行管理访问。同时,应对管理接口所在网络实施严格访问控制,限制能访问这些接口的源 IP 范围并启用多因素认证以增加入侵成本。 检测与取证是评估是否已被利用的核心环节。企业应从多维度排查异常活动,包括审计用户创建与变更记录,重点关注是否存在名为 admin-go 或其他未知管理员账户的新增用户;检查 Web 用户创建和文件上传的日志,筛查是否有 SimpleHelp 或类似工具被安装或被任务调度执行;在主机与网络层面查找异常进程、未授权的可执行文件(如 zato_be.exe 的出现)以及可疑的网络连接至未知外部 IP。
启用并审阅 EDR、SIEM 与网络流量日志可以帮助发现横向移动与数据外传的迹象。若确认存在被利用痕迹,应立即启动应急响应流程,保护关键资产、断开被控节点与外部网络连接并保存关键证据供后续取证分析。 除了快速修补和技术性检测外,企业还应采取若干重要的补充措施以降低长期风险。第一,复核密钥与证书管理策略。由于分析中提到攻击链可能与私钥的获得有关,组织应评估并在必要时重新生成相关密钥或证书,并检查可能被泄露的密钥使用场景。第二,实施最小权限原则,确保管理控制台与文件传输服务仅有必要账户与服务能访问,减少账户滥用的风险。
第三,优化补丁管理与应急响应能力,制定对关键基础设施的优先级补丁流程,并在发现高危漏洞时启动紧急响应通道以缩短修复时间。第四,加强供应链与第三方软件的安全评估,定期对外部依赖和托管平台进行漏洞扫描与渗透测试,避免因第三方缺陷导致整体暴露。 从治理角度看,此次事件也暴露了厂商与客户间沟通的重要性。watchTowr 对 Fortra 在公开信息透明度方面提出质疑,认为在发现有在野利用的证据后,厂商应更主动地向客户说明风险细节与补救优先级。CISA 将该漏洞列入关键漏洞清单并设定修复期限,是在公共部门保障安全与透明方面的一次重要举措。企业在选择关键业务应用与管理系统时,应优先考虑厂商的安全响应能力与沟通效率,评估其在面对高危事件时的及时性与支持能力。
纵观此次事件,对所有网络与系统安全负责的人员都应从中汲取教训。首先,不要将管理控制面暴露在未经严格限制的公网环境中,尤其是关系到关键数据传输的 MFT 产品。其次,应强化对反序列化、输入校验与密钥管理等常见安全风险的检视,推动应用开发与运维团队采用安全编码与安全测试的最佳实践。第三,保持对安全告警的敏感度与快速响应能力,确保在厂商发布补丁或外部机构(如 CISA)发布紧急通知时,组织可以在最短时间内采取行动。 对于已经修补或正准备修补的组织,后续工作同样重要。建议在补丁部署后持续监控一段时间,观察是否有残留的异常行为或已被植入的持久化机制。
必要时进行深度的静态与动态分析,确认是否存在后门或篡改的系统组件。若发现证据表明设备被入侵,应考虑采用隔离、重装或重建受影响系统并恢复来自已知安全备份的文件。同时向相关监管机构与法律顾问咨询通报义务与后续合规步骤,确保事件处置符合行业与法律要求。 最后,应将这次事件作为推进全局信息安全建设的契机。组织应将关键资产梳理清楚,明确哪些系统必须对外提供服务,哪些应该严格内部化。建立健全的漏洞响应流程、加强日志与监控能力、定期演练应急响应以及提高员工对钓鱼与社会工程学攻击的警觉,这些都是抵御未来类似高危漏洞爆发的长效手段。
厂商层面也应对反序列化等高危编程模式进行更严格的审查与自动化检测,及时修复历史遗留的访问控制缺陷,并在出现异常利用证据时更透明地与用户共享威胁情报。 CVE-2025-10035 的发现与在野利用再次表明,当攻击者能够在公开补丁前获得利用机会时,后果可能迅速扩散并造成严重损失。对使用 Fortra GoAnywhere 的组织而言,最关键的优先级是确认暴露面、应用厂商补丁、执行高级别的日志审查与持续监控,以及在必要时启动完整的事件响应与取证流程。通过迅速而有序的应对,不仅可以降低当前风险,也能为未来加强整体防护能力奠定基础。 。
