近日安全界再次迎来令人警惕的事件:用于企业间安全文件交换的GoAnywhere MFT出现了一枚可被远程利用的严重漏洞,编号为CVE-2025-10035,并已被黑客用于实际入侵活动。该漏洞的发现与利用引发了对MFT产品安全、私钥管理与反序列化防护的广泛关注。本文将以客观新闻报道与技术洞见相结合的方式,概述事件时间线、漏洞本质、已观测到的攻击行为与可行的应急与长期防护措施,帮助安全决策者和运维团队评估风险并快速响应。 事件脉络与公开时间线 问题最先由供应商Fortra(前称HelpSystems)在2025年9月18日对外通报,发布补丁并建议限制管理控制台的公网访问。随后独立研究机构WatchTowr Labs表示他们发现可信证据显示该漏洞自9月10日起已被攻击者实际利用,属于零日被利用情形。安全厂商Rapid7基于分析认为,CVE-2025-10035可能并非单一缺陷,而是攻击者通过多重缺陷链实现远程命令执行的结果,链中涉及访问控制绕过、反序列化缺陷以及可能的私钥泄露或滥用。
漏洞概述与潜在危害 CVE-2025-10035的核心为GoAnywhere MFT中License Servlet组件发生的反序列化缺陷。反序列化漏洞在服务端处理来自外部或第三方数据并将其反序列化为可执行对象时,若缺乏严格校验,就可能被构造性数据触发任意代码执行。厂商给出的CVSS评分为10分,表明漏洞可被远程利用且影响严重。 据公开报道,成功利用该缺陷的攻击者能够在目标系统上远程执行命令而无需合法凭证,创建隐藏的管理员账户并通过该账户进一步建立"合法"外部访问,上传并运行后续负载以实现持久化和横向移动。这样的攻击一旦得手,可能导致敏感文件被窃取、网络内其他关键资产被攻陷,甚至用于部署勒索软件或长期隐蔽控制链。 已观测到的攻击行为与指标 安全研究机构披露了若干典型攻击行为和可供检测的指征。
攻击者在被利用后可能创建名为admin-go的隐藏管理帐户,并通过该帐户登记或创建具有看似正常权限的Web用户,从而混淆取证与审计。此外,攻击方会上传并执行多个二进制负载,其中被公开提及的文件名包括zato_be.exe和jwunst.exe等。后者为合法远程支持工具SimpleHelp的二进制,但在被入侵主机上被滥用以维持持久后门访问。 在攻击初期,入侵者也会执行简单的系统枚举命令以探测权限和环境,例如查看当前用户名及所属组等信息,并将输出写入待外传的临时文件。这类行为通常出现在攻击者试图确认权限并为横向移动或特权升级做准备的阶段。 多厂商分析与关键争议点 Rapid7在分析中提出,能够完全滥用CVE-2025-10035的攻击链可能包含三类问题:历史性的访问控制绕过、当前的反序列化缺陷以及一项尚未经公开确认但能让攻击者获知或使用特定私钥的漏洞。
攻击者若能获得serverkey1之类的私钥,便可伪造签名许可响应,从而诱使目标系统接受并处理恶意负载。WatchTowr与Rapid7都未能直接找到该私钥在外泄数据中的证据,也没有确认私钥如何落入攻击者之手,但他们强调若私钥泄露或被误用,就会显著简化对该漏洞的利用难度。 厂商响应与补丁情况 Fortra针对此次漏洞已发布修复版本GoAnywhere MFT 7.8.4与Sustain Release 7.6.3,建议客户尽快升级到受修复版本。对无法立即升级的环境,厂商建议至少禁止通过互联网直接访问GoAnywhere的管理控制台,并对管理接口实施严格的网络访问控制与多因素认证。及时部署补丁仍是根本性解决办法。 对企业的实战防护建议 首先,应优先识别受影响的GoAnywhere MFT实例并尽快以受控方式升级到官方修复版本。
若升级需要评估或测试窗口,临时缓解措施包括限制管理接口仅在受信任网络或VPN内可访问、通过防火墙或访问控制列表阻止来自公网的连接、并在边界与主机层部署入侵检测规则以拦截异常行为。 其次,实施全面的可检测性与取证准备非常重要。确保关键日志(包括应用、系统、Web与审计日志)得到集中采集与长时间保存,启用文件完整性监控以检测未经授权的二进制上传或用户创建,快速排查异常的服务账户变更与新建用户操作。被建议关注的可疑迹象包括存在名称异常的管理用户、Web控制台中不明的新用户、可疑二进制文件出现以及系统执行whoami或组信息查询命令时的异常流量。 第三,采用强制最小权限与网络分段策略。将MFT平台所在主机与企业内其他关键资产进行网络隔离,限制其对域控制器、文件服务器以及备份服务器等高价值目标的访问路径,以降低攻击者通过单一被攻陷系统横向扩展的能力。
第四,加强密钥与许可证管理。审查与强化私钥的存储与访问策略,采用硬件安全模块(HSM)或安全密钥服务存储关键信息,并做密钥轮换与访问日志审计。若有证据表明私钥可能泄露,应立即废止并替换相关密钥。 第五,强化补丁管理与第三方组件审查。MFT类产品常作为第三方工具在企业中长期运行,建议建立可靠的补丁测试与快速部署流程,对供应商通报与安全公告保持持续关注,及时响应零日与高危公告。 应急响应要点与取证考虑 当怀疑系统被利用时,应迅速启动事件响应流程。
优先隔离受影响主机以阻断进一步的出站通信与横向移动,同时在隔离环境内进行镜像采集以保留证据。对可疑二进制、注册表、计划任务与持久化机制进行深入分析。必要时与厂商安全响应团队或第三方应急响应服务合作获取补丁、指标更新与溯源支持。 在取证阶段,建议重点搜集GoAnywhere的访问日志、许可证请求与响应记录、管理控制台操作日志以及任何异常的进程启动与网络连接信息。若发现疑似被篡改的许可证响应或签名,应与供应商协调验证签名来源并评估私钥是否可能被滥用。 行业影响与更广泛的教训 此次事件再次强调了企业文件传输平台在安全生态中的关键性。
MFT产品通常处理大量企业敏感数据且连接外部合作方,一旦被攻破,后果往往比单一应用更严重。供应商应在产品设计层面重视反序列化保护、输入校验、密钥管理与最小权限原则,定期进行红队测试与安全评估。 另一方面,企业在采购与部署此类关键中间件时,应对供应商的安全实践提出明确要求,包括安全开发生命周期(SDL)实施状况、第三方组件清单、密钥管理建议以及对紧急补丁的快速响应流程。建立跨团队的沟通路径可以在漏洞披露与修复窗口内快速采取缓解措施。 结语与行动清单 面对CVE-2025-10035这样的高危漏洞,时间与流程决定了风险能否被及时遏制。对企业而言,当务之急是确认是否使用受影响版本并尽快应用厂商补丁或采取临时访问限制;对安全团队而言,需要强化检测与响应能力,确保日志、备份与证据能够支持追踪与恢复;对供应商而言,应提供透明的事件通报、补丁指南与技术支持,帮助客户快速恢复可信状态。
随着威胁环境的演进,零日利用与多缺陷链攻击可能会更常见。保持补丁习惯、合理分段网络、强化密钥管理以及提升日志与取证能力,将是企业抵御此类风险的长期基础。安全不是一次性工作,而是持续的实践与改进。对于依赖GoAnywhere MFT的组织而言,务必将此次事件作为一次重要提醒,重新评估相关系统的安全态势并采取切实可行的防护措施。 。
