Vulnerabilità

Microsoft indaga lo sfruttamento attivo della falla critica CVE-2025-10035 in GoAnywhere MFT

di Redazione
scritto da Redazione 0 commenti

La Microsoft Threat Intelligence ha confermato l’attività di sfruttamento attivo della vulnerabilità CVE-2025-10035 nel software GoAnywhere MFT, classificata con punteggio CVSS 10.0, che consente esecuzione di codice remoto (RCE) senza autenticazione e apre la strada a catene di attacco ransomware. La falla, presente nel License Servlet Admin Console fino alla versione 7.8.3, è stata associata al gruppo cybercriminale Storm-1175, noto per la distribuzione del ransomware Medusa, che utilizza tecniche di deserializzazione malevola per iniettare comandi arbitrari nei server esposti a Internet. Microsoft ha rilevato le prime tracce di exploitation dall’11 settembre 2025, anticipando l’advisory ufficiale di Fortra del 18 settembre, e ha pubblicato query di hunting e indicatori di compromissione (IoC) per agevolare le attività di detection nei sistemi aziendali. Le evidenze raccolte mostrano come l’attacco evolva da una semplice iniezione di codice a una catena ransomware completa, con persistenza tramite tool RMM e movimenti laterali all’interno delle reti compromesse.

Dettagli della vulnerabilità e modalità di sfruttamento

La vulnerabilità CVE-2025-10035 deriva da un problema di deserializzazione nel License Servlet di GoAnywhere MFT, dove un attaccante può creare una license response signature forgiata per indurre l’applicazione a deserializzare oggetti arbitrari. Questa manipolazione consente l’esecuzione di comandi remoti senza autenticazione, trasformando il servizio in un vettore d’attacco altamente critico. Microsoft conferma che l’exploitation è facilitata dall’esposizione diretta del servlet su Internet e che versioni fino alla 7.8.3 rimangono vulnerabili. Gli attori di Storm-1175 sfruttano il difetto per ottenere accesso iniziale, eseguendo comandi PowerShell e cmd.exe direttamente dai processi GoAnywhere. Tra le prime evidenze di compromissione figurano la creazione di file .jsp sospetti e l’avvio di processi anomali con privilegi elevati. Gli analisti hanno osservato che il vettore di attacco non necessita dell’accesso alla Admin Console, ma agisce esclusivamente attraverso il servlet di licenza, rendendo vulnerabili migliaia di istanze non patchate. La semplicità di sfruttamento, combinata con la gravità del danno potenziale, giustifica la classificazione CVSS 10.0, ovvero il massimo livello di criticità.

Catena di attacco e strumenti utilizzati da Storm-1175

Dopo l’accesso iniziale, gli operatori di Storm-1175 impiegano una catena di strumenti consolidata:

  • SimpleHelp e MeshAgent per controllo remoto e persistenza;
  • netscan per la ricognizione di rete;
  • mstsc.exe per il movimento laterale tramite RDP;
  • Rclone per esfiltrazione dei dati prima della fase di cifratura.

Microsoft ha documentato anche l’uso di Cloudflare Tunnel per garantire C2 cifrato e impedire la tracciabilità del traffico malevolo. Queste azioni culminano con il deploy del ransomware Medusa, utilizzato per l’estorsione sui dati sottratti. Le telemetrie di Defender for Endpoint rilevano l’intera sequenza attraverso alert come “Possible exploitation of GoAnywhere MFT vulnerability” e “Uncommon remote access software detected”. Gli esperti sottolineano che la campagna riflette un’evoluzione delle tattiche di Storm-1175: da attacchi opportunistici a operazioni multi-stage e persistenti, mirate a infiltrare ambienti cloud ibridi e infrastrutture critiche.

Indicatori di compromissione e rilevamento

Microsoft ha pubblicato un elenco di indicatori di compromissione (IoC) legati alle campagne di Storm-1175:

  • Hash SHA-256 per i tool RMM, come 4106c35ff46bb6f2f4a42d63a2b8a619f1e1df72414122ddf6fd1b1a644b3220 (MeshAgent) e c7e2632702d0e22598b90ea226d3cde4830455d9232bd8b33ebcb13827e99bc3 (SimpleHelp).
  • Indirizzi IP associati a server C2 e infrastrutture di distribuzione: 31.220.45.120, 45.11.183.123 e 213.183.63.41.

Le query di Microsoft Defender XDR permettono di identificare dispositivi vulnerabili o compromessi analizzando processi GoAnywhere che eseguono comandi come whoami o systeminfo. Tali pattern rappresentano segnali chiave di exploitation attiva.

Attività post-sfruttamento e impatti

Una volta stabilita la persistenza, Storm-1175 impiega tool di amministrazione legittimi per mantenere accesso prolungato e mascherare l’attività malevola. Le azioni successive includono enumerazione utenti, scansione degli host interni e movimenti laterali verso server ad alto valore, seguiti da esfiltrazione e cifratura dei dati. In diverse infezioni, la catena si è chiusa con il deploy del ransomware Medusa, confermando il legame operativo tra la vulnerabilità GoAnywhere e le campagne di estorsione. Microsoft segnala che in molti casi i sistemi compromessi sono rimasti infiltrati per settimane prima dell’attacco finale, dimostrando la capacità degli attori di operare in modo stealth e bypassare controlli tradizionali.

Raccomandazioni e mitigazione

Microsoft raccomanda l’aggiornamento immediato di GoAnywhere MFT a versioni patchate secondo l’advisory di Fortra, accompagnato da un’analisi retrospettiva dei log per individuare eventuali exploit avvenuti prima dell’applicazione della patch. Le organizzazioni devono:

  • limitare l’esposizione Internet del servizio MFT mediante firewall;
  • attivare la modalità block in Microsoft Defender EDR per fermare processi anomali;
  • applicare Attack Surface Reduction rules per ridurre le superfici di rischio;
  • utilizzare Defender Vulnerability Management per individuare dispositivi vulnerabili;
  • impiegare Security Copilot per accelerare l’analisi degli incidenti.

Microsoft insiste su un approccio proattivo e multilivello, dove la visibilità e la gestione delle vulnerabilità sono centrali per prevenire nuove compromissioni.

Date chiave e implicazioni per la sicurezza globale

  • 11 settembre 2025: prime evidenze di sfruttamento attivo da parte di Storm-1175.
  • 18 settembre 2025: pubblicazione dell’advisory ufficiale di Fortra.

L’incidente dimostra come le piattaforme MFT (Managed File Transfer) continuino a rappresentare un vettore d’ingresso privilegiato per i gruppi ransomware, grazie alla loro esposizione diretta a Internet e al ruolo critico nella gestione dei dati aziendali. Microsoft sottolinea che la CVE-2025-10035 non è un caso isolato ma parte di una tendenza strutturale, in cui le vulnerabilità di deserializzazione in ambienti Java-based vengono sfruttate per initial access e persistence in infrastrutture complesse.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.