Selon The Record, une vulnérabilité évaluée au score maximal 10/10 🚨 suscite une forte inquiétude parmi les experts en cybersécurité.

DLa CISA a ordonné à toutes les agences civiles fédérales américaines de corriger d’urgence la faille critique CVE-2025-10035 touchant l’outil de transfert de fichiers Fortra GoAnywhere MFT. Cette vulnérabilité, qui concerne la gestion des licences, permet à un attaquant de soumettre une licence forgée puis d’exécuter des commandes arbitraires sur le serveur, ce qui se traduit par un risque d’accès à distance non autorisé et de compromission totale du système. La faille a reçu un score CVSS de 10/10, indiquant sa gravité maximale, et elle est activement exploitée depuis au moins le 10 septembre 2025.

Les systèmes affectés sont toutes les versions de GoAnywhere MFT antérieures à 7.8.4 (et antérieures à 7.6.3 pour le Sustain Release). Le risque est accru pour les instances dont la console d’administration est accessible sur Internet, Fortra ayant conseillé de retirer tout accès public à cette interface et d’appliquer immédiatement les correctifs. Malgré des signes évidents d’exploitation observés par des sociétés comme WatchTowr, Fortra n’a pas confirmé publiquement l’utilisation de la faille, suscitant des critiques dans la communauté cybersécurité.

Des attaques similaires avaient visé la même solution en 2023 (CVE-2023-0669), notamment par le groupe Clop, qui a exploité la faille pour mener des vols massifs de données et des campagnes de ransomware auprès de grandes entreprises et administrations. L’incident actuel laisse craindre des compromissions similaires, avec plusieurs milliers de serveurs potentiellement exposés.

Les organisations utilisant GoAnywhere doivent non seulement patcher immédiatement, mais aussi vérifier les configurations et renforcer leur surveillance pour détecter toute activité suspecte. La CISA impose la correction avant le 20 octobre 2025. Il reste cependant de nombreuses zones d’incertitude sur les modes d’exploitation et sur l’ampleur des compromissions

Type d’article et but principal : article de presse spécialisé relatant l’existence d’une vulnérabilité très sévère et la réaction de la communauté à la communication de Fortra.

🔗 Source originale : https://therecord.media/cisa-orders-federal-gov-patch-fortra-bug

🖴 Archive : https://web.archive.org/web/20250930202054/https://therecord.media/cisa-orders-federal-gov-patch-fortra-bug