خانه » CVE-2025-10035
هشدار‌های سایبری

CVE-2025-10035

Deserialization Vulnerability In GoAnywhere MFT's License Servlet

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 14 بازدید
هشدار سایبری CVE-2025-10035
  • شناسه CVE-2025-10035 :CVE
  • CWE-77, CWE-502 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 18, 2025
  • به روز شده: سپتامبر 18, 2025
  • امتیاز: 10.0
  • نوع حمله: Command Injection
  • اثر گذاری: Unknown
  • حوزه: نرم افزارهای کاربردی
  • برند: Fortra
  • محصول: GoAnywhere MFT
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در License Servlet نرم‌افزار GoAnywhere MFT نسخه‌های 7.8.3 و پایین‌تر، ناشی از سریال زدایی ناامن است. این آسیب پذیری به مهاجمان با امضای مجوز جعلی معتبر اجازه می دهد تا آبجکت دلخواه را سریال زدایی کرده و از این طریق تزریق فرمان (Command Injection) انجام دهند و دستورات مخرب را اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-10035 در GoAnywhere MFT، نرم‌افزار انتقال فایل مدیریت‌شده (Managed File Transfer)، ناشی از سریال‌زدایی ناامن در License Servlet است که مطابق با CWE-502  و CWE-77  طبقه‌بندی می‌شود.

این ضعف در نسخه‌های 0 تا 7.8.3 روی پلتفرم های لینوکس، ویندوز و macOS وجود دارد و به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد با استفاده از امضای مجوز جعلی معتبر، آبجکت دلخواه را سریال زدایی (deserialize) کرده و تزریق فرمان انجام دهند.

در License Servlet، پاسخ مجوز با امضای جعلی معتبر پردازش می‌شود و سپس بدون اعتبارسنجی مناسب، SignedObject.getObject فراخوانی می‌شود. این فراخوانی باعث سریال زدایی آبجکت هایی شده که توسط مهاجم کنترل می گردد و می تواند منجر به اجرای دستورات دلخواه روی سیستم شود.

این آسیب‌پذیری از طریق شبکه بدون نیاز به احراز هویت یا تعامل کاربر قابل بهره‌برداری است. مهاجم می‌تواند تنها با ارسال یک درخواست POST مخرب به License Servlet دستورات دلخواه را اجرا کند. پیامدهای این آسیب پذیری شامل نقض شدید محرمانگی  با دسترسی به داده‌های حساس، یکپارچگی با تغییر فایل‌ها یا تنظیمات و در دسترس‌پذیری با اختلال در سرویس MFT است.

کد اثبات مفهومی (PoC) و اکسپلویت برای این آسیب پذیری به صورت عمومی منتشر نشده، اما تست آسیب پذیری از طریق کد خصوصی در دسترس است که به مهاجم این امکان را می دهد تا از آسیب پذیری برای اجرای دستورات دلخواه استفاده کند. Fortra این آسیب‌پذیری را در نسخه‌های 7.8.4 و نسخه‌ی Sustain Release 7.6.3 که برای پشتیبانی بلندمدت طراحی شده، پچ کرده است.

CVSS

Score Severity Version Vector String
10.0 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

 لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 0 through 7.8.3 Linux, Windows, MacOS GoAnywhere MFT

لیست محصولات بروز شده

Versions Platforms Product
Upgrade to a patched version (the latest release 7.8.4, or the Sustain Release 7.6.3) Linux, Windows, MacOS GoAnywhere MFT

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که GoAnywhere MFT را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
32 GoAnywhere MFT

 نتیجه گیری

این آسیب‌پذیری در GoAnywhere MFT، به دلیل شدت بحرانی و سریال زدایی ناامن در پردازش امضای جعلی، تهدید بسیار جدی برای سیستم‌های انتقال فایل سازمانی ایجاد می‌کند. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

  • به‌روزرسانی فوری: GoAnywhere MFT را به نسخه 7.8.4 یا Sustain Release 7.6.3 به‌روزرسانی کنید تا اصلاحات امنیتی اعمال شود.
  • محدودسازی دسترسی Admin Console: دسترسی به Admin Console را از اینترنت مسدود کرده و آن را فقط از طریق شبکه داخلی قابل دسترس کنید.
  • بررسی لاگ‌ها: لاگ‌های مربوط به فعالیت‌های مدیریتی (Admin Audit logs) را به‌طور منظم بررسی کرده و مراقب هرگونه فعالیت مشکوک یا پیام‌های خطا مانند “getObject” باشید که می‌تواند نشانه‌ای از بهره‌برداری باشد.
  • نظارت بر ترافیک: ترافیک ورودی به License Servlet را با استفاده از فایروال یا فایروال اپلیکیشن وب (WAF) تحت نظارت قرار دهید و درخواست‌های مشکوک را مسدود نمایید.
  • پشتیبان‌گیری و رمزنگاری: از داده‌های حساس ارسال‌شده پشتیبان‌گیری کرده و فرآیندهای انتقال داده را با استفاده از رمزنگاری امن انجام دهید تا از دست رفتن یا دسترسی غیرمجاز به اطلاعات جلوگیری شود.
  • آموزش و آگاهی: مدیران سیستم را در مورد ریسک سریال زدایی ناامن(deserialization) و اهمیت به‌روزرسانی منظم MFT آگاه کنید.

اجرای این اقدامات نه‌تنها امنیت سیستم‌های GoAnywhere MFT را در محیط‌های سازمانی تضمین می‌کند، بلکه بر اهمیت اعتبارسنجی امضاهای مجوز و جلوگیری از سریال‌زدایی داده‌های غیرقابل‌اعتماد نیز تأکید دارد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ورود اولیه از طریق اندپوینت «License Servlet» با ارسال پاسخ لایسنسِ ساختگی انجام می‌شود. به‌دلیل اعتبارسنجی ناقص امضا و دسریال‌سازی ورودی، مهاجم از راه دور و با پیچیدگی پایین می‌تواند بدون نیاز به تعامل کاربر نقطه ورود بسازد (در صورت عمومی‌بودن سرویس یا دسترسی از شبکه سازمان).

Execution (TA0002)

پس از پذیرفته‌شدن بسته لایسنس، آبجکتِ کنترل‌شده مهاجم در فرآیند جاوا دسریال‌سازی شده و زنجیره گجت منجر به اجرای کد در کانتکست سرویس اپلیکیشن می‌شود

Persistence (TA0003)

ایجاد ماندگاری با استقرار وب‌شل/اسکریپت، افزودن تسک زمان‌بندی‌شده، تغییر کانفیگ اپ/وب‌سرور، کاشت JAR/ کتابخانه مخرب، یا ایجاد کاربر مدیریتی در خود سامانه MFT ممکن است.

Privilege Escalation (TA0004)

در صورت اجرای سرویس با دسترسی محدود، مهاجم می‌تواند از آسیب‌پذیری‌ها/سوءپیکربندی‌های محلی برای ارتقای امتیاز به سطح سیستم بهره‌برداری کند یا با سوءاستفاده از حساب‌های سرویس به منابع حساس‌تری دست یابد.

Defense Evasion (TA0005)

کاهش ردیابی با حذف/دستکاری لاگ‌های برنامه و سیستم، تقلید الگوی ترافیک لایسنسِ معتبر، مبهم‌سازی محتوای ارسالی، و غیرفعال‌سازی مکانیزم‌های پایش/ضد ویروس سمت سرور.

Discovery (TA0007)

شناسایی نسخه و ماژول‌های نصب‌شده، مسیرهای ذخیره‌سازی فایل‌ها، اتصال‌های خروجی پیکربندی‌شده، کاربران/نقش‌ها، توپولوژی شبکه و میزبان‌های مجاور برای برنامه‌ریزی حرکت بعدی ممکن است.

Lateral Movement (TA0008)

ارتباط از سرور MFT به دیتابیس، فایل‌سرورها، دامین کنترلر یا سرویس‌های ادغامی از طریق اعتبارهای به‌دست‌آمده، تونل‌های معکوس، یا کانال‌های مدیریتی مجاز ممکن است

Collection (TA0009)

جمع‌آوری فایل‌های ذخیره‌شده/صف انتقال، آرشیوهای تاریخی، پیکربندی کانکشن‌های شریک تجاری و لاگ‌های عملیاتی که حاوی داده‌های حساس سازمانی است.

Exfiltration (TA0010)

خروج داده از مسیرهای موجود MFT (SFTP/FTPS/HTTPS) یا کانال‌های دلخواه مهاجم بر بستر HTTP/HTTPS؛ و امکان تکه‌تکه‌سازی و زمان‌بندی برای کاهش جلب توجه وجود دارد

Command and Control (TA0011)

برقراری ارتباط فرماندهی و کنترل از طریق درخواست‌های وب از سرور آلوده Beacon دوره‌ای، کانال‌های مبتنی بر HTTPS یا تونل معکوس پایدار ممکن است.

Impact (TA0040)

افشای گسترده داده‌ها، دست‌کاری فایل‌ها و تنظیمات انتقال (خدشه به یکپارچگی)، و اختلال در سرویس‌دهی MFT (کاهش دسترس‌پذیری). در سناریوی بدتر، مهاجم می‌تواند زنجیره انتقال سازمانی را کنترل و برای نفوذ به سامانه‌های دیگر از آن سوءاستفاده کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-10035
  2. https://www.cvedetails.com/cve/CVE-2025-10035/
  3. https://www.fortra.com/security/advisories/product-security/fi-2025-012
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10035
  5. https://vuldb.com/?id.324968
  6. https://github.com/h4xnz/CVE-2025-10035-Exploit
  7. https://nvd.nist.gov/vuln/detail/CVE-2025-10035
  8. https://cwe.mitre.org/data/definitions/77.html
  9. https://cwe.mitre.org/data/definitions/502.html

همچنین ممکن است دوست داشته باشید

CVE-2025-10964

CVE-2025-10975

CVE-2025-10911

CVE-2025-10994

CVE-2025-10540

CVE-2025-10137

CVE-2025-10127

CVE-2025-10634

CVE-2025-10960

CVE-2025-10958

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×