FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概况

微软威胁情报团队发出警告，网络犯罪组织Storm-1175（以部署Medusa勒索软件和利用暴露的企业应用获取初始访问权限而闻名）正在积极利用GoAnywhere托管文件传输(MFT)软件中新披露的关键漏洞。

微软表示："2025年9月18日，Fortra发布安全公告，披露GoAnywhere MFT许可证Servlet中存在关键反序列化漏洞（CVE-2025-10035），CVSS评分为10.0。"该漏洞允许攻击者在未打补丁的服务器上执行任意代码，某些情况下甚至无需身份验证。

技术细节

该漏洞影响GoAnywhere MFT管理控制台7.8.3及更早版本，源于对用户输入数据的反序列化处理不当。当攻击者提交伪造的许可证响应签名时，可触发该漏洞，导致攻击者控制的对象被反序列化，最终实现命令注入和远程代码执行(RCE)。

微软解释称："该漏洞使攻击者能够通过伪造许可证响应签名绕过签名验证，从而反序列化任意由攻击者控制的对象。"公开报告进一步指出，如果攻击者能够伪造或拦截有效的许可证响应，"利用该漏洞无需身份验证"，这使得面向互联网的部署尤其危险。

攻击活动分析

曾参与分发Medusa勒索软件的威胁组织Storm-1175迅速将该漏洞用于定向攻击。微软研究人员指出，漏洞披露后不久就出现了利用尝试。报告称："微软Defender研究人员发现，多家机构遭受的攻击活动与Storm-1175的战术、技术和程序(TTP)相符。"观察到的最早入侵发生在2025年9月11日，比Fortra发布公开公告早了数天。

在这些攻击中，Storm-1175执行了多阶段操作：

• 初始访问：利用GoAnywhere MFT中的零日反序列化漏洞
• 持久化：投放合法的远程监控和管理(RMM)工具（如SimpleHelp和MeshAgent），通常存储在GoAnywhere MFT进程目录下
• 后利用：创建恶意.jsp Web Shell，执行系统和用户发现，使用netscan进行网络侦察
• 横向移动：利用mstsc.exe（微软远程桌面）在受害者环境中横向移动
• 命令与控制(C2)：建立Cloudflare隧道进行加密通信
• 数据外泄与影响：使用Rclone外泄数据，最终部署Medusa勒索软件

防御建议

微软强烈建议组织应用Fortra提供的补丁，并监控网络环境中的入侵后指标。报告强调："威胁行为者利用RMM工具建立基础设施，甚至设置Cloudflare隧道进行安全的C2通信。在外泄阶段，至少在一个受害者环境中观察到Rclone的部署和执行。最终，在一个被入侵的环境中，观察到Medusa勒索软件的成功部署。"
缓解措施：

1. 立即升级：按照Fortra指南升级至已修复的GoAnywhere MFT版本
2. 网络隔离：配置边界防火墙和代理，禁止GoAnywhere服务器发起未经批准的出站连接
3. 终端防护：启用EDR拦截模式，使Microsoft Defender for Endpoint能在被动杀毒状态下阻断恶意文件
4. 攻击面缩减：部署攻击面缩减规则，阻止常见勒索软件TTP（如拦截不符合年龄/流行标准的可执行文件，禁用Web Shell创建）
5. 资产监控：使用外部攻击面管理工具识别未受管或未修补的GoAnywhere实例
6. 自动化响应：利用Microsoft Defender的自动化调查和修复功能缩短驻留时间，缓解警报疲劳

通过采用纵深防御策略（结合快速补丁更新、网络分段和高级终端防护），企业可有效阻止攻击企图，防范Storm-1175组织的Medusa勒索软件入侵。

微软将此活动归因于Storm-1175已知的战术：利用软件漏洞获取初始访问权限，随后部署双重用途工具实现持久化和数据外泄。观察到的合法RMM软件使用情况凸显了该组织对"就地取材"技术的重视，以规避检测。

参考来源：

Critical RCE (CVE-2025-10035) in GoAnywhere MFT Used by Medusa Ransomware Group

GoAnywhere 0-Day RCE Vulnerability Exploited in the Wild to Deploy Medusa Ransomware

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）