Fortra GoAnywhere Yazılımındaki Güvenlik Açığı
Son dönemde siber güvenlik alanında dikkat çeken bir gelişme, Fortra GoAnywhere adlı dosya transfer yazılımındaki kritik bir güvenlik açığı olarak karşımıza çıktı. WatchTowr Labs, bu açığın, 10 Eylül 2025 tarihinde aktif olarak sömürüldüğünü ve bu durumun bir hafta kadar önce kamuya açıklandığını duyurdu. CEO Benjamin Harris, “Bu yalnızca yüksek bir CVSS 10.0 puanına sahip bir açık değil, aynı zamanda belirli APT grupları ve fidye yazılımları tarafından uzun süredir kullanılan bir zafiyet” ifadesinde bulundu.
CVE-2025-10035 Açığı Nedir?
CVE-2025-10035 olarak adlandırılan bu açığın, License Servlet’te bir deserialization zafiyeti olduğu belirtiliyor. Bu zafiyet, kimlik doğrulama olmaksızın komut enjeksiyonu gerçekleştirilmesine imkan tanıyor. Fortra’nın, sorunu gidermek için 7.8.4 sürümünü ve Sustain Release 7.6.3 sürümünü yayınladığı belirtiliyor.
WatchTowr’un yaptığı analizler, bu açıklığın, “/goanywhere/license/Unlicensed.xhtml/” noktasına şekillendirilmiş bir HTTP GET isteği göndermenin mümkün olduğunu ortaya koyuyor. Bu istek sayesinde, daha önceden gönderilen isteğin yanıtındaki GUID kullanılarak License Servlet ile doğrudan etkileşim kurulabiliyor. Bu kimlik doğrulama atlatma açığıyla, bir saldırgan, License Servlet’teki yetersiz deserialization korumalarını kullanarak komut enjeksiyonu gerçekleştirebiliyor.
Çok Katmanlı Güvenlik Açıkları
Cybersecurity firması Rapid7, CVE-2025-10035 hakkında yaptığı incelemede, bunun tek bir deserialization açığı olmadığını, aksine üç ayrı sorunun zincirini içerdiğini bildirdi:
- Erişim kontrolü aşma açığı: 2023 yılından bu yana biliniyor.
- Güvenli olmayan deserialization açığı CVE-2025-10035.
- Saldırganların belirli bir özel anahtarı nasıl bilebileceğine dair henüz bilinmeyen bir sorun.
Exploitation Aktiviteleri
WatchTowr, bu güvenlik açığının sömürü emelli kullanıldığını doğrulayan kanıtlar elde etti. Elde edilen veriler arasında, bir arka kapı hesabı oluşturma imkanı sağlayan bir stack trace yer alıyor. Saldırı süreci aşağıdaki gibi gerçekleşiyor:
- Fortra GoAnywhere MFT’deki ön kimlik doğrulama açığı tetikleniyor ve uzaktan kod yürütme (RCE) sağlanıyor.
- RCE kullanılarak “admin-go” adında yeni bir GoAnywhere kullanıcısı oluşturuluyor.
- Oluşturulan bu hesapla, bir web kullanıcısı oluşturuluyor.
- Web kullanıcısı, çözümle etkileşimde bulunmak ve SimpleHelp gibi ek yükleri yüklemek ve çalıştırmak için kullanılıyor.
Tehdit Aktörlerinin İzleri
Siber güvenlik şirketi, bu tehdit aktörlerinin faaliyetlerinin, 155.2.190[.]197 IP adresinden geldiğini ve bu adresin, Fortinet FortiGate SSL VPN cihazlarına yönelik brute-force saldırıları gerçekleştirdiği için VirusTotal tarafından işaretlendiğini bildirdi.
Kullanıcıların Alması Gereken Önlemler
Görülen bu açıkların aktif olarak sömürüldüğü göz önüne alındığında, kullanıcıların mümkün olan en kısa sürede düzeltmeleri uygulamaları hayati önem taşıyor. Bu tür güvenlik açıklarına karşı hazır olmak, olası verilerinizi ve sistemlerinizi korumanız açısından son derece kritik.
Altında yatan zafiyetler, güvenlik yazılımlarına duyulan ihtiyacı bir kez daha gözler önüne seriyor. Yazılımların güncel tutulması ve düzenli denetimlerin yapılması, siber saldırılara karşı en etkili savunma yöntemleri arasında yer alıyor.
Siber güvenlik alanındaki gelişmeler, sadece uzmanlar için değil, aynı zamanda genel kullanıcılar için de dikkatle takip edilmesi gereken konular arasında yer alıyor. Fortra’nın bu konudaki açıklamaları ve durumu izlemeye alması bekleniyor. Amatör kullanıcıların bile bu tür güvenlik açıklarına karşı bilgi sahibi olması gerektiği gerçeği, gün geçtikçe daha da önem kazanıyor.
Siber dünyada yaşanan bu tür olaylar, kullanıcılara dikkatli olmaları ve sürekli bilgi güncellemeleri yaparak kendilerini korumaları gerektiğini hatırlatmakta. Unutulmamalıdır ki, siber güvenlik, herkesin sorumlu olduğu bir alandır ve her birey bu sorumluluğu üstlenmelidir.
