导言 近日安全研究机构 watchTowr 公开披露,攻击者已利用 Fortra 的 GoAnywhere 管理文件传输(MFT)产品中的高危漏洞 CVE-2025-10035 展开实战攻击。该漏洞被赋予 CVSS 10.0 的"完美十"评分,且研究人员发现攻击活动至少可追溯到 2025 年 9 月 10 日,而 Fortra 在 9 月 18 日发布公告后并未立即确认是否存在广泛的在野利用,使得企业在应急响应和取证工作上面临更大压力。鉴于 GoAnywhere 在金融、制造、医疗和大型企业中的广泛部署,以及公开可达的数万台实例,相关风险不容忽视。 漏洞概述与利用方式 CVE-2025-10035 是一个预认证的反序列化漏洞,攻击者不需要先进行合法身份验证即可触发恶意序列化数据,从而在受影响的 GoAnywhere 服务器上实现远程代码执行(RCE)。一旦获得 RCE,攻击者通常会先建立持久访问,例如创建管理账户和 Web 用户、植入 Web shell 或者修改系统配置,然后再部署后续有效载荷,包括数据窃取、横向移动与勒索软件部署。 watchTowr 的分析显示,攻击链通常呈现以下特征:攻击者通过构造特定的序列化负载触发反序列化缺陷来执行命令;执行后建立后门管理账户以维持长期控制;部署用于数据外传与命令控制的组件,并进一步尝试在受害者网络中传播。
研究者强调,成功利用的前提往往是系统直接对外暴露或能被内网可达,这也说明对边界暴露与访问控制的防护失效将显著放大影响范围。 时间线与披露争议 根据公开信息,watchTowr 在 9 月 10 日收集到相关利用证据,之后在 9 月 18 日 Fortra 正式发布了漏洞公告。研究机构认为,供应商在"是否受到影响"部分的模糊陈述增加了防御方排查负担,因为缺乏清晰的利用确认或完整的 IoC(入侵指示器)会迫使安全团队花费更多时间在日志中追溯可疑活动。 这并非 GoAnywhere 首次成为攻击目标。2023 年 Cl0p 利用 CVE-2023-0669 对 GoAnywhere 发起攻击,引发大规模的 MFT 供应链事件,给无数下游组织带来数据泄露和勒索后果。随后攻击者将目光转向其他 MFT 解决方案(例如 MOVEit),造成更大规模的个人信息泄露事件。
因此,当类似"完美十"级别的漏洞出现时,全行业对潜在的广泛利用持高度警惕。 曝光面与潜在影响 watchTowr 在报告中提及存在超过两万个仍然对外公开可访问的 GoAnywhere 实例。尽管并未明确多少实例尚未打补丁,但这样的大量暴露面意味着,若攻击被自动化或形成可重复利用的攻击链,潜在受害者数量将非常可观。受影响机构包括大型跨国企业、金融机构、医疗服务提供者与政府承包商等关键领域,这些机构一旦被入侵,可能面临数据外泄、业务中断、合规处罚和品牌声誉损失。 为什么厂商透明度很重要 厂商在漏洞发现或紧急修复时的沟通策略对事件响应至关重要。及时而明确的信息可以帮助受影响组织快速判断影响范围、优先级与采取行动。
相反,含糊的表述会延长识别与响应时间,使更多组织在不确定下延误修补或误判风险。watchTowr 呼吁 Fortra 提供更多可操作的证据、具体的 IoC 列表和受影响版本范围,以便安全团队集中资源进行日志追溯与应急处置。 历史教训:从 Cl0p 到 MOVEit 2019 年以后,针对 MFT 产品的攻击逐渐成为犯罪组织和 APT 的重要战术。2023 年 Cl0p 对多个 MFT 厂商的零日利用导致大量下游机构被入侵并被勒索,随后又出现对 Progress MOVEit 的大规模漏洞利用事件,影响数千万用户。这些事件带来的教训很明确:MFT 系统承载着大量敏感数据,是高价值目标;且供应链型漏洞可能同时牵连大量中小型客户,造成广泛后果。 检测与指征(不提供利用细节) 检测这类利用需要横向结合多类日志与检测工具。
安全团队应重点监控与分析 GoAnywhere 相关的访问日志、系统日志、应用级日志与网络流量。异常指征可能包括:突然出现的新管理用户或 Web 用户账户;来自可疑 IP 的未授权访问尝试;非正常时间段执行的管理操作;服务器上出现未知的可执行文件、脚本或 Web shell;异常的出站网络连接尤其是长时间的加密通道连接;日志中出现的序列化或反序列化异常条目;以及在短时间内大量文件被打包或外传的痕迹。 应急响应要点 在确认存在风险或怀疑被利用时,首先应尽快将受影响系统与网络隔离,降低进一步的数据泄露与横向传播风险。隔离后应保留完整的原始日志和镜像用于取证分析,避免破坏证据。启动事件响应流程,快速识别受影响范围、核实是否存在持久化后门、清理已知恶意账户并恢复被篡改的配置。若怀疑敏感数据被窃取,应按照法规与合同义务进行通报并评估合规责任。
同时建议及时更换相关凭据、密钥和 API token,以切断可能的持久访问路径。 补丁与缓解措施 最直接的防护措施是尽快应用厂商发布的补丁或升级到安全版本。如果短时间内无法全面打补丁,建议采取网络层面的防护:将 GoAnywhere 管理接口从互联网移除或仅允许通过受控的跳板与 VPN 访问,使用防火墙和访问控制列表限制可访问源;采用 Web 应用防火墙(WAF)对异常序列化请求进行拦截;利用网络分段和严格的权限模型限制受影响服务器与核心业务系统的直接通信。此外,使用多因素认证、最小权限原则和对关键操作的审计可以降低入侵后的破坏力。 日志分析与威胁狩猎 企业应集中收集并长期保存关键日志以便追溯。安全团队需要编写针对性的查询语句在 SIEM 中挖掘异常行为,例如查找在短时间内部署新用户、异常文件写入、可疑 HTTP POST 请求或非典型外发流量的痕迹。
结合 EDR 能力可以检测内存中是否存在未知进程或被注入的代码。若条件允许,可与外部威胁情报机构共享可疑 IoC,以便确认是否与已知攻击活动相关联。 沟通与法律合规 在大规模事件中,及时与法律合规、业务单位和外部监管机构沟通非常重要。企业需评估数据泄露的范围、可能受影响的个人信息类型,并依据当地法律要求决定是否需要通知客户或监管机构。同时,与保险方沟通可能的理赔事宜,记录处置流程与取证活动,保留完整的事件复盘材料。 长期防御策略 MFT 系统通常是业务关键组件,需将其纳入重大风险管理体系中。
除了及时打补丁之外,定期评估外部暴露面、开展红队演练、进行代码审计与第三方风险评估都是必要的。建立供应商风险管理流程,要求供应商在发生安全事件时提供可操作的技术细节和协助,并在合同中明确披露义务与补偿条款。把身份与访问管理、密钥管理与流量监控纳入日常运维,能显著降低未来事故的风险。 行业与厂商责任 当类似 CVE-2025-10035 这类高危漏洞被报告并出现实战利用的证据时,厂商承担着对客户提供透明、及时而准确信息的责任。包括明确受影响版本、提供可操作的修复步骤、公布已知的入侵指征以及协助客户进行受影响评估。研究机构与厂商之间的配合也非常关键,研究团队提供的利用证据和 IoC 可以帮助厂商改进公告内容,从而让更多受影响的企业做出正确的防护决策。
结语 CVE-2025-10035 的出现,再次提醒业界 MFT 产品作为重要的数据交付基础设施,其安全性对企业乃至社会至关重要。历史教训显示,一旦供应链类漏洞被广泛利用,后果往往极其严重。企业不能将责任完全寄托于供应商,必须主动评估风险、强化边界防护并建立快速响应能力。与此同时,厂商需以更高标准履行透明义务,研究机构、监管方与产业界应加强协作,共同降低此类高危漏洞造成的系统性风险。只有通过技术、管理和协作三方面的持续投入,才能把"漏洞的游乐场"变回可控的风险领域。 。
