Explotación activa de la vulnerabilidad crítica CVE-2025-10035 en Fortra GoAnywhere MFT

Las soluciones de transferencia de archivos gestionada (MFT), como GoAnywhere de Fortra, constituyen un componente fundamental de las operaciones empresariales, facilitando el intercambio seguro y automatizado de datos sensibles. Su rol crítico las convierte en un objetivo de alto valor para actores de amenazas que buscan acceder a redes corporativas para la exfiltración de datos y el despliegue de ransomware. Este informe proporciona un análisis detallado de una vulnerabilidad crítica que afecta a esta plataforma y la campaña de explotación activa asociada.

La amenaza central es la vulnerabilidad de ejecución remota de código (RCE) CVE-2025-10035, que afecta al software Fortra GoAnywhere MFT y posee una puntuación de severidad CVSS de 10.0 (Crítica). Esta falla ha sido explotada activamente como un zero-day por el grupo de ciberdelincuentes con motivación financiera Storm-1175, un afiliado conocido por desplegar el ransomware Medusa. La explotación como zero-day permitió a los adversarios ejecutar una cadena de ataque metódica, desde el acceso inicial y la persistencia sigilosa hasta el movimiento lateral y el impacto final a través del cifrado de datos y la extorsión.

Este artículo ofrece un análisis técnico de la vulnerabilidad, un perfil del actor de amenazas, una cronología detallada del incidente y recomendaciones accionables para la mitigación y remediación.

Análisis detallado de la vulnerabilidad: CVE-2025-10035

A continuación, se detallan los atributos técnicos de la vulnerabilidad:

• Identificador CVE: CVE-2025-10035
• Producto afectado: Solución de transferencia de archivos gestionada (MFT) Fortra GoAnywhere.
• Componente vulnerable: license servlet admin console (versiones 7.8.3 y anteriores).
• Tipo de falla: deserialización de datos no confiables que conduce a inyección de comandos.
• Vector de ataque: remoto, no requiere autenticación.
• Puntuación CVSS 3.1: 10.0 (Crítica).
• Mecanismo de explotación: permite a un atacante con una firma de respuesta de licencia válidamente falsificada deserializar un objeto arbitrario controlado por él, lo que puede resultar en ejecución remota de código (RCE).
• Complejidad: según investigadores de Rapid7, el problema es una cadena que incluye un bypass de control de acceso conocido desde 2023 y un problema no resuelto relacionado con una clave privada específica.

Una puntuación CVSS de 10.0 representa la máxima criticidad posible para una vulnerabilidad. Para una organización, tener un sistema expuesto con esta calificación significa que la falla es de explotación trivial por un atacante remoto sin necesidad de autenticación ni interacción del usuario, y su impacto abarca la totalidad de la confidencialidad, integridad y disponibilidad del sistema afectado.

Esta vulnerabilidad técnica sirvió como puerta de entrada para un actor de amenazas bien conocido, cuyas tácticas y procedimientos se analizan a continuación.

Perfil del actor de amenaza: storm-1175

El grupo responsable de la explotación de CVE-2025-10035 ha sido identificado por Microsoft Threat Intelligence como Storm-1175. A continuación, se resumen sus características clave:

• Motivación: grupo de ciberdelincuentes con motivación financiera.

• Asociación: conocido por ser un afiliado que despliega el ransomware Medusa.

• Tácticas preferidas: explotación de vulnerabilidades en aplicaciones de cara al público para obtener acceso inicial a las redes de sus víctimas.

• Sectores atacados: diversos sectores como transporte, educación, retail, seguros y manufactura.

Aunque algunas fuentes especulan que Storm-1175 es un grupo "Chino", este informe se adhiere a la atribución de ser un actor con motivación financiera.

La siguiente sección desglosa cronológicamente cómo Storm-1175 aprovechó esta vulnerabilidad como un zero-day, operando con una ventaja significativa antes de que la falla fuera de conocimiento público.

Cronología del incidente y explotación como Zero-Day

• 10 de septiembre de 2025: investigadores de la firma watchTowr reciben evidencia creíble de que la vulnerabilidad ya está siendo explotada activamente.
• 11 de septiembre de 2025: un cliente de Fortra reporta actividad sospechosa, lo que lleva a la compañía a iniciar una investigación. Simultáneamente, Microsoft observa la explotación de la vulnerabilidad por parte de Storm-1175 en múltiples organizaciones.
• 17 de septiembre de 2025: Fortra implementa el parche de seguridad en sus propios servicios MFT basados en la nube.
• 18 de septiembre de 2025: Fortra publica el aviso de seguridad oficial y libera los parches para sus clientes locales (versiones 7.8.4 y 7.6.3).
• 29 de septiembre de 2025: la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) añade CVE-2025-10035 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
• 6-7 de octubre de 2025: Microsoft publica su análisis detallado, atribuyendo formalmente los ataques a Storm-1175 y vinculando la campaña con el despliegue del ransomware Medusa.
• 13 de octubre de 2025: semanas después del aviso inicial y de múltiples confirmaciones por parte de investigadores y agencias gubernamentales, Fortra admite oficialmente la existencia de "actividad no autorizada" relacionada con la vulnerabilidad.

La explotación de esta vulnerabilidad como un zero-day es un hecho crítico. Los ataques comenzaron, como mínimo, ocho días antes del aviso público de Fortra. Durante este período crítico, las organizaciones estaban indefensas; sin parches disponibles ni indicadores de compromiso publicados, las herramientas de seguridad convencionales eran ciegas a la intrusión, otorgando a los atacantes tiempo suficiente para infiltrarse en las redes, establecer persistencia y prepararse para las fases posteriores de su operación.

Análisis de la cadena de ataque (TTPs de Storm-1175)

Acceso inicial

Storm-1175 obtuvo su punto de entrada inicial explotando la vulnerabilidad CVE-2025-10035 en instancias de GoAnywhere MFT expuestas a internet. La explotación exitosa de esta falla de deserialización les otorgó la capacidad de ejecutar código de forma remota en los servidores afectados.

Persistencia

Una vez dentro, el actor implementó múltiples técnicas para asegurar un acceso duradero y sigiloso a la red comprometida:

• Creación de cuentas de puerta trasera: crearon una cuenta de administrador maliciosa con el nombre de usuario admin-go para mantener el control sobre el sistema GoAnywhere.

• Despliegue de herramientas RMM: instalaron software legítimo de monitoreo y gestión remota (RMM), como SimpleHelp y MeshAgent, directamente bajo el proceso de GoAnywhere MFT. Estas herramientas les proporcionaron un canal de control persistente.

• Creación de web shells: desplegaron archivos .jsp (web shells) en los directorios de GoAnywhere MFT, lo que les permitió ejecutar comandos en el servidor a través de una interfaz web.

Descubrimiento y movimiento lateral

Tras establecer la persistencia, los atacantes realizaron un reconocimiento interno para mapear la red y planificar sus siguientes movimientos. Se observó el uso de comandos como whoami y systeminfo para recopilar información del sistema, así como herramientas como netscan para el descubrimiento de red. Para el movimiento lateral hacia otros sistemas de la red, utilizaron mstsc.exe, el cliente de Escritorio Remoto de Windows.

Comando y Control (C2) y exfiltración de datos

Para mantener la comunicación con los sistemas comprometidos, los atacantes establecieron canales de Comando y Control (C2) seguros. Esto se logró a través de las herramientas RMM previamente instaladas y mediante la configuración de un túnel de Cloudflare para cifrar y ofuscar su tráfico. En al menos un entorno de víctima, se observó el uso de la herramienta Rclone para exfiltrar datos sensibles.

Impacto: despliegue del ransomware

El objetivo final de la campaña en, al menos, un caso confirmado fue el despliegue del ransomware Medusa. Este malware cifró los archivos de la víctima, interrumpiendo las operaciones y dando paso a la fase de extorsión.

Esta cadena de ataque multifacética demuestra que la simple aplicación de un parche no es suficiente. Requiere defensas en profundidad y la capacidad de detectar actividades post-explotación, lo que nos lleva a la importancia de los indicadores de compromiso.

Recomendaciones de Mitigación y Remediación

Estas son medidas urgentes que todas las organizaciones que utilizan GoAnywhere MFT deben implementar sin demora.

• Actualizar inmediatamente: aplique el parche de seguridad para actualizar GoAnywhere MFT a la versión 7.8.4 o a la versión de soporte 7.6.3. Esta es la acción más crítica para cerrar el vector de entrada.
• Reducir la superficie de exposición: asegúrese de que la consola de administración de GoAnywhere no esté expuesta a la internet pública. el acceso administrativo debe estar restringido a redes internas y de confianza.
• Investigar un posible compromiso: dado que la explotación comenzó como un zero-day (antes de la publicación del parche), la simple actualización es insuficiente para remediar un sistema ya comprometido. Revise los logs de auditoría, la creación de cuentas de usuario y la actividad de procesos anómalos.

Fortalecimiento Estratégico de la Postura de Seguridad

Más allá de la respuesta inmediata, este incidente subraya la necesidad de adoptar controles de seguridad más robustos y proactivos.

• Gestión de superficie de ataque: implemente herramientas de gestión de superficie de ataque externa (EASM) para descubrir de forma continua sistemas vulnerables y sin parches en el perímetro de su red.

• Controles de EDR: ejecute soluciones de Detección y Respuesta en Endpoints (EDR) en "modo de bloqueo". Esto permite que la herramienta detenga y remedie automáticamente artefactos maliciosos detectados post-compromiso, incluso si no son reconocidos por el antivirus tradicional.

• Segmentación de red: restrinja las conexiones salientes a internet desde servidores críticos, como las plataformas MFT. Esto puede inhibir la descarga de malware de segunda etapa y la comunicación con la infraestructura de C2 de los atacantes.

• Reglas de reducción de superficie de ataque: active reglas para bloquear técnicas comunes de ransomware. Específicamente, Microsoft recomienda implementar las siguientes reglas:

• Bloquear la ejecución de archivos ejecutables a menos que cumplan con un criterio de prevalencia, antigüedad o lista de confianza
• Usar protección avanzada contra ransomware
• Bloquear la creación de web shells para servidores

La combinación de remediación táctica y fortalecimiento estratégico es clave para construir una defensa en capas que sea resiliente frente a amenazas sofisticadas como esta.

Conclusión

El incidente de CVE-2025-10035 es un claro recordatorio de la fragilidad de los sistemas críticos expuestos a internet y de la velocidad con la que los actores de amenazas pueden operacionalizar una vulnerabilidad. El análisis revela cómo una falla de día cero con máxima severidad en una plataforma de transferencia de archivos fue explotada sistemáticamente por Storm-1175, un conocido actor, para ejecutar una campaña de ataque completa que culminó en el cifrado de datos y la extorsión.

La cuestión sin resolver más crítica, que ha sido un punto de frustración para la comunidad de investigadores, es cómo los atacantes obtuvieron la clave privada necesaria para falsificar la firma de licencia, un componente clave para la explotación. Este punto subraya la necesidad de una mayor transparencia por parte de los proveedores de software durante los incidentes de seguridad, ya que dicha información es vital para que los defensores comprendan plenamente su exposición al riesgo.

En el futuro, las plataformas MFT y otras aplicaciones de cara al público seguirán siendo un objetivo de alto valor. Para mantener la ciber resiliencia, las organizaciones deben priorizar la vigilancia continua, la gestión rigurosa y oportuna de parches, el fortalecimiento de la postura de seguridad a través de defensas en profundidad y la capacidad de detectar y responder rápidamente a las actividades post-explotación.

Fuentes

https://thehackernews.com/2025/10/microsoft-links-storm-1175-to.html

https://www.cve.org/cverecord?id=CVE-2025-10035

https://www.goanywhere.com/resources/articles/how-to-upgrade-goanywhere-mft

https://www.fortra.com/security/advisories/product-security/fi-2025-012

https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/

https://www.hipaajournal.com/critical-goanywhere-vulnerability-medusa-ransomware/