Fortra’nın GoAnywhere MFT Yazılımındaki Son Kritik Açık: CVE-2025-10035
Son günlerde, hacktivist grupları ve siber suçlular, Fortra’nın GoAnywhere MFT yazılımındaki ciddi bir güvenlik açığını (CVE-2025-10035) istismar etmeye başladılar. Bu açık, kimlik doğrulama olmadan uzaktan komut enjekte edilmesine olanak tanımaktadır. 18 Eylül 2025’te Fortra, bu güvenlik açığını açıkladı, ancak şirketin bu durumu bir hafta öncesinden bildiği ve nasıl keşfedildiğine dair herhangi bir bilgi paylaşmadığı dikkat çekiyor.
Güvenlik Açığı ve Etkileri
CVE-2025-10035, GoAnywhere’nin lisans servletinde bulunan bir Serialization (serileştirme) açığıdır. Ayrıca, “geçerli bir şekilde sahte bir lisans yanıtı imzası” olan bir aktör tarafından komut enjekte edilmesini sağlar. Fortra’nın güvenlik bildirimleri güncellenmemiştir; ancak WatchTowr Labs’tan güvenlik araştırmacıları, bu açığın “sıfır gün” olarak kullanıldığına dair güvenilir kanıtlara ulaştıklarını belirtmişlerdir.
WatchTowr’un raporuna göre, bu açık kullanılarak yapılan saldırılar 10 Eylül 2025’e kadar uzanmaktadır. Şirketin 18 Eylül’de yaptığı kamu duyurusu öncesindeki bu durum, Fortra’nın neden sınırlı IOC’ler (İndikatörler) yayımlamaya karar verdiğini açıklıyor.
Uzaktan Komut İcra Etme Yöntemleri
WatchTowr, analiz edilen verilerin, saldırganların uzaktan komut yürütmesi ve bir arka kapı hesabı oluşturması ile ilgili stack trace (yığın izi) içerdiğini doğruladı. Bu süreçte:
- Önce kayıt dışı bir serileştirme açığı kullanılarak uzaktan komut icra edilmiş,
- ‘admin-go’ adında bir arka kapı yönetici hesabı oluşturulmuş,
- Bu hesapla “meşru” erişim sağlayan bir web kullanıcısı oluşturulmuş,
- Birden fazla ikincil yük (payload) yüklenip çalıştırılmıştır.
Analiz edilen indikatorler, ‘zato_be.exe’ ve ‘jwunst.exe’ adlarıyla sınıflandırılmıştır. İkincisi, uzaktan erişim ürünü SimpleHelp için meşru bir binary olsa da, bu durumda, ihlal edilen son noktalarda kalıcı bir kontrol sağlamak için kötüye kullanılmıştır.
İhlal Edilen Hesapların Yönetimi
Güvenlik araştırmacıları, saldırganların ‘whoami/groups’ komutunu çalıştırdığını ve bu komutun mevcut kullanıcı hesabı ve Windows grup üyeliklerini gösterdiğini kaydetmiştir. Çıktının bir metin dosyasına (test.txt) kaydedilmesi, tehdit aktörünün ihlal edilen hesabın yetkilerini kontrol etmesine ve ihlal edilen ortamda yan hareket fırsatlarını keşfetmesine olanak tanımaktadır.
Fortra’nın Yanıtı ve Alınacak Önlemler
BleepingComputer, Fortra’ya, WatchTowr’un bulguları hakkında yorum yapması için ulaşmıştır, ancak henüz bir yanıt alınamamıştır. CVE-2025-10035 için aktif istismar durumu göz önüne alındığında, önlem almayı unutan sistem yöneticilerine, güncellenmiş bir sürüme (en son 7.8.4 veya 7.6.3) geçmeleri önerilmektedir.
CVE-2025-10035’e karşı alınabilecek önlemlerden biri, GoAnywhere Yönetici Konsolu’nun kamusal internetten erişimini kaldırmaktır. Fortra, yöneticilerin ‘SignedObject.getObject’ içeren hata kaydı dosyalarını kontrol etmelerini de önermektedir. Bu, herhangi bir olayın etkilenip etkilenmediğini belirlemek için hayati bir adım olabilir.
Siber Güvenlikte Eğitim ve Farkındalık
Kullanıcıların ve şirketlerin siber güvenlik alanında bilinçlenmesi, bu tür açıkların suistimal edilmesini önlemek için büyük önem taşımaktadır. Eğitim, bu tür zafiyetlerin nasıl tespit edileceği ve önleneceği konusunda farkındalık yaratmaktadır.
Özetle, sistem yöneticilerinin bu kritik güvenlik açığı hakkında bilgi sahibi olması ve gerekli güncellemeleri yapması gerekmektedir. Bu sayede, potansiyel olarak zarara yol açabilecek ihlallere karşı önlem almak mümkün olacaktır.
Siber güvenlik alanında meydana gelen bu tür gelişmeler, bir şirketin güvenlik protokollerini sürekli gözden geçirmesini şart kılmaktadır. Güvenlik önlemleri, asla göz ardı edilmemeli ve sürekli olarak güncellenmelidir.
