در یک حمله تازه، گروه سایبری Storm-1175 با سوءاستفاده از آسیبپذیری بحرانی CVE-2025-10035 در نرمافزار GoAnywhere MFT، اقدام به انتشار باجافزار Medusa کرده است. این نقص امکان اجرای کد از راه دور (RCE) را فراهم میکند و کارشناسان امنیتی نسبت به خطر بالای آن برای سرورهای وصلهنشده هشدار دادهاند.
ماهیت و دامنه تهدید باگ بحرانیGoAnywhere
CVE-2025-10035 یک آسیبپذیری بحرانی از نوع deserialization در License Servlet محصول GoAnywhere MFT (تا نسخه 7.8.3) با امتیاز CVSS 10.0 است. در این رخنه مهاجم میتواند با جعل امضای پاسخ لایسنس، شیءای را که خودش کنترل میکند deserialize کند (deserialize به معنی «بازسازی» یا «تبدیل» دادههای سریالشده مثل JSON، XML یا قالبهای باینری به اشیاء در حافظه برنامه است؛ اگر این دادهها از منبع نامطمئن بیایند، میتوانند حاوی محتوای مخرب باشند)، و این فرایند میتواند به تزریق فرمان و اجرای کد از راه دور (RCE) بینجامد. از آنجا که در بسیاری موارد نیازی به احراز هویت نیست، نمونههایی که بهصورت عمومی در اینترنت در دسترساند در خطر بالایی قرار دارند.
GoAnywhere MFT یک راهکار سازمانی مدیریت انتقال فایل (MFT) مبتنی بر وب از شرکت Fortra است که برای تبادل کنترلشده و امن فایلها میان سیستمهای سازمانی بهکار گرفته میشود. License Servlet بخش نرمافزاریای است که پاسخهای لایسنس (معمولاً شامل امضاهای دیجیتال) را پردازش و اعتبارسنجی میکند؛ آسیبپذیری در این مؤلفه به مهاجم اجازه میدهد مکانیزم بررسی لایسنس را دور زده و با ارسال یا جعل پاسخهای امضاشده، کد دلخواه را در بستر نرمافزار اجرا کند. از آنجا که نمونههای در معرض اینترنت بیشترین آسیبپذیری را دارند، بنیاد Shadowserver بیش از ۵۰۰ نمونه عمومی GoAnywhere را زیر نظر دارد.
نقشه حمله: از deserialization تا Medusa
تحلیلها نشان میدهد این حمله یک زنجیره چندمرحلهای منسجم بوده که هر مرحله هدف مشخصی داشته و مهاجمان با ترکیب نقاط ضعف نرمافزاری و ابزارهای متداول مدیریتی بهسرعت از دسترسی اولیه به کنترل کامل شبکه رسیدهاند.
در گام نخست با سوءاستفاده از آسیبپذیری CVE-2025-10035 در GoAnywhere MFT دسترسی اولیه بهدست آوردهاند.در مرحله بعد، با استفاده از ابزارهای SimpleHelp (ابزار RMM برای دسترسی و پشتیبانی از راه دور)و MeshAgent (عامل مدیریت از راه دور جهت اجرای فرمان و مدیریت فایل) ماندگاری ایجاد کرده و فایلهای .jsp در مسیر نرمافزار قرار دادهاند.
سپس با بهرهگیری از Netscan (ابزاری برای نقشهبرداری سریع شبکه و شناسایی میزبانها و سرویسها)شبکه را شناسایی کرده و از طریق mstsc.exe در سیستمها حرکت جانبی انجام دادهاند. در ادامه برای ارتباط فرماندهی از تونل Cloudflare و ابزارهای RMM استفاده شده و نهایتاً با اجرای Rclone دادهها استخراج و باجافزار Medusa مستقر شده است.
واکنشها و هشدارهای امنیتی
در پی افشای این نقص امنیتی، شرکت Fortra در تاریخ ۱۸ سپتامبر ۲۰۲۵ وصلهای برای رفع آسیبپذیری CVE-2025-10035 منتشر کرد و از مدیران IT خواست تا نسخههای آسیبپذیر GoAnywhere MFT را در اسرع وقت بهروزرسانی کنند. با این حال، بررسیها نشان میدهد که سوءاستفاده فعال از این حفره از حدود ۱۰ سپتامبر آغاز شده و مایکروسافت نیز فعالیتهای مرتبط با گروه Storm-1175 را از ۱۱ سپتامبر ۲۰۲۵ شناسایی کرده است.
مایکروسافت با تأیید نقش این گروه در حملات اخیر، هشدار فوری صادر کرده و به سازمانها توصیه کرده است که لاگهای سیستمهای GoAnywhere را بهدقت بررسی کرده و برای شناسایی و پاسخ به نفوذ احتمالی از راهکارهایی مانند Microsoft Defender XDR بهره ببرند. در همین راستا، نهادهای CISA، FBI و MS-ISAC نیز نسبت به تداوم کمپین باجافزاری Medusa هشدار داده و بر ضرورت محدودسازی دسترسی سرورهای در معرض اینترنت تأکید کردهاند.
تأثیر و اهمیت حمله
این حادثه بار دیگر نشان داد که حتی راهکارهای انتقال امن فایل نیز از تهدیدات روز-صفر در امان نیستند. استفاده مهاجمان از ابزارهای قانونی مدیریت از راه دور (RMM) برای پنهانسازی فعالیتها، نشاندهندهی افزایش سطح پیچیدگی و سازمانیافتگی در حملات باجافزاری است. در مجموع، این رویداد بر اهمیت بهروزرسانی سریع سامانهها، پایش مستمر لاگهای امنیتی و جداسازی سرویسهای حیاتی از محیط اینترنت تأکید دارد.
0 دیدگاه