GoAnywhere yangi (Fortra) 0-Day zaifligi: xavfsizlik yangilanishidan (patchdan) oldin hujumlar boshlandi

Fortra kompaniyasining GoAnywhere MFT fayl uzatish yechimida jiddiy xavf — CVE-2025-10035 topildi. Bu zaiflik authentication (autentifikatsiya) talab qilmaydigan buyruq yuklash (remote code execution) imkonini beradi va uning xavfi CVSS 10.0 — maksimal baholandi. Tadqiqotchilar zaiflik hujumchi

Ekspluatatsiyalar 2025-yil 10-sentabrdan boshlangan, Fortra esa rasmiy ogohlantirishni 18-sentabrda berdi. Patch esa 15-sentabrda chiqarilgan.

Zaiflik qanday ishlaydi (soddalashtirilgan)

  • Muammo — deserializatsiya xatosi va yana bir nechta bog‘liq kamchiliklar zanjiri (kirishni nazoratni chetlab o‘tish, deserializatsiya va maxfiy kalit bilan bog‘liq masala).
  • Hujumchi maxsus tayyorlangan ma’lumot yuborib, tizimda avvaldan autentifikatsiya talab qilmasdan kod ishga tushirishi mumkin.
  • Ular tizimga kirgach, admin-go nomli yashirin administrator hisobini yaratgan va keyin undan veb-foydalanuvchi hisoblarni yaratishda foydalangan. Shu yo‘l bilan zararli yuklamalar (masalan, C:\Windows\zato_be.exe) joylangan.

Kimlar ta’sirlangan?

GoAnywhere MFT’ni ishlatadigan serverlar, xususan administrator konsoli internetga ochiq bo‘lgan tizimlar eng xavf ostida. Fortra rasmiy yechimlarni chiqarib, quyidagi versiyalarni taqdim etdi: GoAnywhere MFT 7.8.4 va Sustain 7.6.3.

Belgilar (Indicators of Compromise) — darhol tekshiring

  • Tizimda admin-go kabi noma’lum mahalliy hisob paydo bo‘lganmi?
  • C:\Windows\zato_be.exe, C:\Windows\jwunst.exe kabi noma’lum fayllar mavjudmi?
  • Loglarda whoami /groups kabi buyruqlar va ularning natijalari (C:\Windows\test.txt) yozuvlari bormi?
  • Serverdan noma’lum IP (masalan, kuzatilgan hujumchi IP’lari) ga nostandart trafik yoki fayl uzatishlar bo‘lganmi?

Nima qilish kerak — zudlik bilan tavsiyalar

  1. Patchni o‘rnating: agar hali yangilanmagan bo‘lsangiz, GoAnywhere MFT 7.8.4 yoki tegishli patched release’ni o‘rnating — bu eng muhim qadam.
  2. Admin konsollarini Internetdan yashiring: MFT admin interfeysini ommaviy tarmoqdan olib tashlang yoki faqat ishonchli VPN/ichki tarmoqlar orqali ulanishni ruxsat eting.
  3. Shubhali hisoblarni tekshiring: mahalliy foydalanuvchilar ro‘yxatini tekshirib, noma’lum admin hisoblarini olib tashlang va parollarni o‘zgartiring.
  4. Zararli fayllarni qidiring: yuqoridagi IOC’larni (fayl nomlari, buyruq natijalari) tekshiring va topilgan fayllarni izolyatsiya qilib forensik tekshiruv qiling.
  5. Loglarni chuqur tahlil qiling: patchdan oldingi davr uchun kirish, fayl yuklash va anomal buyruqlarni qidiring.
  6. Tarmoq monitoringini kuchaytiring: noma’lum IP’lar bilan aloqalarni bloklash va trafikni qayta ko‘rib chiqish.
  7. Backup va tiklash rejasini tekshiring: muhim ma’lumotlarning xavfsiz, offline zaxira nusxalari mavjudligini va tiklash jarayonlari sinovdan o‘tganligini tasdiqlang.

Bu hodisa — ta’minot zanjiri va boshqaruv konsollari xavfsizligi uchun qanchalik muhim ekanligini yana bir bor eslatadi. Eng tezkor va samarali chora — darhol patch o‘rnatish, admin konsollarini cheklash va tizimlarni IOC bo‘yicha tekshirish. Agar sizning infratuzilmangiz GoAnywhere ishlatsa, bu hozir darhol bajarilishi lozim bo‘lgan vazifa.