باگ بحرانی GoAnywhere در حملات باج‌افزاری

در یک حمله تازه، گروه سایبری Storm-1175 با سوءاستفاده از آسیب‌پذیری بحرانی CVE-2025-10035 در نرم‌افزار GoAnywhere MFT، اقدام به انتشار باج‌افزار Medusa کرده است. این نقص امکان اجرای کد از راه دور (RCE) را فراهم می‌کند و کارشناسان امنیتی نسبت به خطر بالای آن برای سرورهای وصله‌نشده هشدار داده‌اند.

ماهیت و دامنه تهدید باگ بحرانیGoAnywhere

CVE-2025-10035 یک آسیب‌پذیری بحرانی از نوع deserialization در License Servlet محصول GoAnywhere MFT (تا نسخه 7.8.3) با امتیاز CVSS 10.0 است. در این رخنه مهاجم می‌تواند با جعل امضای پاسخ لایسنس، شیء‌ای را که خودش کنترل می‌کند deserialize کند (deserialize به معنی «بازسازی» یا «تبدیل» داده‌های سریال‌شده مثل JSON، XML یا قالب‌های باینری  به اشیاء در حافظه برنامه است؛ اگر این داده‌ها از منبع نامطمئن بیایند، می‌توانند حاوی محتوای مخرب باشند)، و این فرایند می‌تواند به تزریق فرمان و اجرای کد از راه دور (RCE) بینجامد. از آن‌جا که در بسیاری موارد نیازی به احراز هویت نیست، نمونه‌هایی که به‌صورت عمومی در اینترنت در دسترس‌اند در خطر بالایی قرار دارند.

GoAnywhere MFT یک راهکار سازمانی مدیریت انتقال فایل (MFT) مبتنی بر وب از شرکت Fortra است که برای تبادل کنترل‌شده و امن فایل‌ها میان سیستم‌های سازمانی به‌کار گرفته می‌شود. License Servlet بخش نرم‌افزاری‌ای است که پاسخ‌های لایسنس (معمولاً شامل امضاهای دیجیتال) را پردازش و اعتبارسنجی می‌کند؛ آسیب‌پذیری در این مؤلفه به مهاجم اجازه می‌دهد مکانیزم بررسی لایسنس را دور زده و با ارسال یا جعل پاسخ‌های امضاشده، کد دلخواه را در بستر نرم‌افزار اجرا کند. از آن‌جا که نمونه‌های در معرض اینترنت بیشترین آسیب‌پذیری را دارند، بنیاد Shadowserver بیش از ۵۰۰ نمونه عمومی GoAnywhere را زیر نظر دارد.

نقشه حمله: از deserialization تا Medusa

تحلیل‌ها نشان می‌دهد این حمله یک زنجیره چندمرحله‌ای منسجم بوده که هر مرحله هدف مشخصی داشته و مهاجمان با ترکیب نقاط ضعف نرم‌افزاری و ابزارهای متداول مدیریتی به‌سرعت از دسترسی اولیه به کنترل کامل شبکه رسیده‌اند.

در گام نخست با سوءاستفاده از آسیب‌پذیری CVE-2025-10035 در GoAnywhere MFT دسترسی اولیه به‌دست آورده‌اند.در مرحله بعد، با استفاده از ابزارهای SimpleHelp (ابزار RMM برای دسترسی و پشتیبانی از راه دور)و MeshAgent (عامل مدیریت از راه دور جهت اجرای فرمان و مدیریت فایل) ماندگاری ایجاد کرده و فایل‌های .jsp در مسیر نرم‌افزار قرار داده‌اند.

سپس با بهره‌گیری از Netscan (ابزاری برای نقشه‌برداری سریع شبکه و شناسایی میزبان‌ها و سرویس‌ها)شبکه را شناسایی کرده و از طریق mstsc.exe در سیستم‌ها حرکت جانبی انجام داده‌اند. در ادامه برای ارتباط فرماندهی از تونل Cloudflare و ابزارهای RMM استفاده شده و نهایتاً با اجرای Rclone داده‌ها استخراج و باج‌افزار Medusa مستقر شده است.

واکنش‌ها و هشدارهای امنیتی

در پی افشای این نقص امنیتی، شرکت Fortra در تاریخ ۱۸ سپتامبر ۲۰۲۵ وصله‌ای برای رفع آسیب‌پذیری CVE-2025-10035 منتشر کرد و از مدیران IT خواست تا نسخه‌های آسیب‌پذیر GoAnywhere MFT را در اسرع وقت به‌روزرسانی کنند. با این حال، بررسی‌ها نشان می‌دهد که سوءاستفاده فعال از این حفره از حدود ۱۰ سپتامبر آغاز شده و مایکروسافت نیز فعالیت‌های مرتبط با گروه Storm-1175 را از ۱۱ سپتامبر ۲۰۲۵ شناسایی کرده است.

مایکروسافت با تأیید نقش این گروه در حملات اخیر، هشدار فوری صادر کرده و به سازمان‌ها توصیه کرده است که لاگ‌های سیستم‌های GoAnywhere را به‌دقت بررسی کرده و برای شناسایی و پاسخ به نفوذ احتمالی از راهکارهایی مانند Microsoft Defender XDR بهره ببرند. در همین راستا، نهادهای CISA، FBI و MS-ISAC نیز نسبت به تداوم کمپین باج‌افزاری Medusa هشدار داده و بر ضرورت محدودسازی دسترسی سرورهای در معرض اینترنت تأکید کرده‌اند.

تأثیر و اهمیت حمله

این حادثه بار دیگر نشان داد که حتی راهکارهای انتقال امن فایل نیز از تهدیدات روز-صفر در امان نیستند. استفاده مهاجمان از ابزارهای قانونی مدیریت از راه دور (RMM) برای پنهان‌سازی فعالیت‌ها، نشان‌دهنده‌ی افزایش سطح پیچیدگی و سازمان‌یافتگی در حملات باج‌افزاری است. در مجموع، این رویداد بر اهمیت به‌روزرسانی سریع سامانه‌ها، پایش مستمر لاگ‌های امنیتی و جداسازی سرویس‌های حیاتی از محیط اینترنت تأکید دارد.