كشفت شركة watchTowr Labs المتخصصة في الأمن السيبراني عن وجود “أدلة موثوقة” على استغلال نشط للثغرة الأمنية الحرجة في برنامج Fortra GoAnywhere Managed File Transfer (MFT) منذ 10 سبتمبر 2025، أي قبل أسبوع كامل من الكشف العلني عنها. وأكد الرئيس التنفيذي للشركة، بنجامين هاريس، أن الأمر يتجاوز مجرد ثغرة CVSS 10، إذ أنها كانت بالفعل قيد الاستخدام من قِبل جهات تهديد متقدمة ومشغلي برمجيات الفدية.
تفاصيل الثغرة واستغلالها
تحمل الثغرة الرمز CVE-2025-10035، وهي ناتجة عن خلل في عملية deserialization في وحدة License Servlet، مما يتيح تنفيذ أوامر عن بُعد دون الحاجة إلى مصادقة. وأصدرت Fortra نسخة مُحدثة (7.8.4) وأخرى طويلة الدعم (7.6.3) لمعالجة المشكلة. ووفق تحليل watchTowr، يمكن للمهاجم إرسال طلب HTTP GET مخصص للتفاعل مع الـ Servlet المكشوف، ومن ثم استغلال ضعف الحماية في deserialization لتحقيق حقن أوامر خبيثة.
ثغرة مركبة وفق تحليل Rapid7
أشارت شركة Rapid7 إلى أن المشكلة لا تقتصر على ثغرة واحدة، بل هي سلسلة من ثلاث ثغرات:
-
تجاوز للتحكم بالوصول معروف منذ عام 2023،
-
ثغرة deserialization غير الآمن CVE-2025-10035،
-
مشكلة إضافية غير مُعلنة تتعلق بقدرة المهاجمين على معرفة مفتاح خاص حساس.
نشاط المهاجمين وردود الأفعال الرسمية
أظهر تقرير لاحق أن المهاجمين نجحوا في استغلال الثغرة لإنشاء حساب خلفي باسم admin-go، ثم إنشاء مستخدم ويب واستخدامه لرفع حمولة إضافية مثل SimpleHelp وزرع ملف خبيث غير معروف باسم zato_be.exe. وتتبع النشاط إلى عنوان IP سبق ربطه بهجمات brute-force على أجهزة Fortinet. وفي تطور لاحق، أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الاستغلال النشط للثغرة، وألزمت الوكالات الفيدرالية بتطبيق التحديثات قبل 20 أكتوبر 2025. من جانبها، أوضحت Fortra أن الخطر يخص المنظمات التي تُعرض وحدة التحكم الإدارية على الإنترنت، مؤكدة استمرار التحقيقات وتقديم التحديثات للعملاء.
