Selon un avis de sécurité publié par Fortra le 18 septembre 2025, une vulnérabilité critique de désérialisation (CVE-2025-10035, CVSS 10.0) affecte le License Servlet de GoAnywhere MFT.
🐞 La faille permet, à un acteur capable de forger validement la signature d’une réponse de licence, de désérialiser un objet contrôlé par l’attaquant, ce qui peut conduire à une injection de commandes et potentiellement à une exécution de code à distance (RCE).
⚠️ Microsoft Threat Intelligence a observé l’exploitation de cette vulnérabilité par le groupe Storm-1175, connu pour déployer le ransomware Medusa et pour exploiter des applications exposées sur Internet comme vecteur d’accès initial.
Produits concernés: GoAnywhere MFT (License Servlet).
TTPs observées:
- Désérialisation d’objets non fiables via un License Servlet.
- Forge de la signature d’une réponse de licence pour valider la charge malveillante.
- Injection de commandes menant à une RCE potentielle.
- Exploitation d’applications exposées publiquement pour l’accès initial (Storm-1175), avec déploiement de ransomware Medusa en phase ultérieure.
Type d’article: avis de vulnérabilité informant sur une faille critique et son exploitation active.
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/