Si vous utilisez la solution GoAnywhere MFT de chez Fortra, vous devez rapidement patcher la dernière faille de sécurité critique : CVE-2025-10035. En effet, le groupe de cybercriminels Storm-1175 l’exploitait avant même que le correctif ne soit disponible. Faisons le point.
GoAnywhere MFT et la vulnérabilité CVE-2025-10035
Le 18 septembre 2025, l’éditeur Fortra a publié un nouveau bulletin de sécurité pour évoquer la vulnérabilité CVE-2025-10035. Cette faille de sécurité critique touche le service de gestion des licences, le “License Servlet”, de GoAnywhere MFT. Elle repose sur une faiblesse liée à la désérialisation : en forgeant une signature de réponse de licence, un attaquant peut contourner la vérification de l’intégrité et injecter un objet malveillant.
Ainsi, en exploitant cette vulnérabilité, un attaquant non authentifié peut exécuter du code à distance (RCE) sur l’instance vulnérable. L’attaquant peut donc prendre le contrôle total du système.
Dans le cas présent, le risque est élevé puisque des milliers d’instances GoAnywhere MFT sont exposées sur Internet. En effet, cette solution est utilisée par des entreprises pour effectuer du transfert de fichiers sécurisés.
“Assurez-vous immédiatement que l’accès à la console d’administration de GoAnywhere n’est pas ouvert au public. L’exploitation de cette vulnérabilité dépend fortement de l’exposition externe des systèmes à l’internet.”, précise le bulletin de sécurité de l’éditeur.
Si vous utilisez cette solution, vous devez installer l’une de ces deux versions pour vous protéger : 7.8.4 ou 7.6.3 pour la version Sustain Release. Par ailleurs, l’application de cette bonne pratique est recommandée : la console d’administration de GoAnywhere ne doit pas être accessible publiquement depuis Internet.
Le lien entre la CVE-2025-10035 et Storm-1175
Un nouveau rapport publié par les chercheurs de Microsoft Threat Intelligence évoque l’exploitation de cette vulnérabilité par le groupe Storm-1175, déjà connu pour avoir notamment ciblé des hyperviseurs VMware ESXi.
“Un groupe de cybercriminels repéré par Microsoft Threat Intelligence sous le nom de Storm-1175, connu pour avoir déployé le ransomware Medusa et exploité des applications publiques pour obtenir un accès initial, a été observé en train d’exploiter la vulnérabilité.”, peut-on lire.
La vulnérabilité CVE-2025-10035 a été divulguée par Fortra le 18 septembre dernier, et pourtant, Microsoft évoque des attaques dès le 11 septembre 2025. Les chercheurs de Microsoft évoquent même l’utilisation du ransomware Medusa.
En effet, voici un résumé des tactiques, techniques et procédures (TTP) utilisées par le groupe Storm-1175 d’après l’analyse de Microsoft :
Accès initial : Storm-1175 a exploité la vulnérabilité zero-day pour pénétrer dans le système GoAnywhere MFT.
Persistance : les attaquants ont installé des outils légitimes de type RMM comme SimpleHelp et MeshAgent pour maintenir leur accès.
Découverte et mouvement latéral : ils ont utilisé des commandes de découverte du système et de l’environnement utilisateur, et déployé des outils comme netscan pour cartographier le réseau. Le mouvement latéral a été effectué via le Bureau à distance (mstsc.exe).
C2 et exfiltration : les outils RMM ont servi d’infrastructure de commande et de contrôle (C2), avec l’installation d’un tunnel Cloudflare pour une communication sécurisée avec l’infrastructure des attaques. L’exfiltration des données a été effectuée à l’aide de l’outil Rclone.
Déploiement final : dans au moins l’une des cyberattaques observées, le ransomware Medusa a été utilisé.
Il est urgent de patcher si vous utilisez cette solution.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.