Microsoft: kritiek GoAnywhere MFT-lek gebruikt bij ransomware-aanvallen

In dit artikel:

Een ernstige zero-day in Fortra’s GoAnywhere MFT (CVE-2025-10035) is actief misbruikt door aanvallers voordat er een patch beschikbaar was. Fortra bracht op 18 september een beveiligingsupdate uit; de kwetsbaarheid zelf werd volgens het bedrijf op 11 september ontdekt. Onderzoekers van watchTowr meldden eind september betrouwbaar bewijs dat misbruik al op 10 september plaatsvond. Microsoft bevestigt in een eigen analyse dat op 11 september een ransomwaregroep de zwakke plek heeft benut, op basis van gegevens uit Microsoft Defender.

Het lek maakt het mogelijk om met een vervalste licentie-respons opdrachten op de server uit te voeren; de kwetsbaarheid kreeg een maximale ernstscore van 10.0. Na succesvol misbruik kunnen aanvallers onder meer systemen en gebruikers inventariseren, langdurige toegang vestigen en laterale bewegingen maken om aanvullende malware uit te rollen. Fortra publiceerde aanvankelijk weinig Indicators of Compromise; later werden klanten aangespoord logs te controleren op verdachte activiteit.

Organisaties die GoAnywhere gebruiken wordt aangeraden onmiddellijk de gepatchte versie te installeren, beschikbare IOCs van Microsoft en andere meldingen te doorzoeken en hun omgeving te monitoren op tekenen van inbreuk. Het incident illustreert het risico van zero-days in file-transfersoftware die veelal toegang tot gevoelige data biedt.