كشفت شركة الأمن السيبراني watchTowr Labs عن وجود “أدلة موثوقة” على استغلال نشط لثغرة خطيرة في برنامج Fortra GoAnywhere Managed File Transfer (MFT) منذ 10 سبتمبر 2025، أي قبل أسبوع كامل من إعلانها للعامة. وأكد بنجامين هاريس، الرئيس التنفيذي لـ watchTowr، أن المسألة تتجاوز مجرد ثغرة CVSS 10.0، إذ تُعد هذه المنصة هدفًا مفضلًا لجهات التهديد المتقدمة (APT) وعصابات الفدية، وقد تم بالفعل استغلالها في بيئات حقيقية.
تفاصيل الثغرة وسلسلة الهجوم
تحمل الثغرة رقم التعريف CVE-2025-10035، وتتمثل في ثغرة deserialization في مكون License Servlet، ما يسمح بحقن أوامر (Command Injection) دون الحاجة إلى مصادقة. وقد أصدرت Fortra تحديثات للإصدارات 7.8.4 و7.6.3 Sustain Release لإصلاح الخلل.
بحسب تحليل watchTowr، يمكن استغلال الثغرة عبر إرسال طلب HTTP GET
مما يسمح بالتفاعل مع الـ Servlet المعرضة وباستخدام الـ GUID من الاستجابة السابقة، يستطيع المهاجم تجاوز التحقق ثم استغلال ضعف الحماية من deserialization لتنفيذ أوامر عن بُعد.
سلسلة عيوب مترابطة تكشف خطورة أوسع
أشارت شركة Rapid7 إلى أن المشكلة ليست مجرد ثغرة واحدة، بل سلسلة مترابطة من ثلاث ثغرات:
-
ثغرة تجاوز تحكم في الوصول معروفة منذ عام 2023.
-
ثغرة unsafe deserialization المسجّلة كـ CVE-2025-10035.
-
ثغرة إضافية غير معروفة بعد، تتعلق بكيفية تمكّن المهاجمين من معرفة مفتاح خاص محدد.
استغلال واقعي وأدلة رقمية
أوضح تقرير watchTowr أن المهاجمين استخدموا الاستغلال لإنشاء حساب خلفي باسم admin-go، ومن خلاله أنشأوا حساب ويب جديدًا مكّنهم من رفع وتنفيذ برمجيات خبيثة إضافية مثل SimpleHelp وزرع ملف غير معروف باسم zato_be.exe. وقد ربط الباحثون النشاط بعنوان IP هو: 155.2.190[.]197، سبق وأن تم الإبلاغ عنه في أغسطس 2025 لاستهداف أجهزة Fortinet FortiGate SSL VPN بهجمات brute-force، لكن دون رصد محاولات مماثلة ضد مصائد watchTowr.
توصيات عاجلة
نظرًا لثبوت الاستغلال النشط، يشدد الخبراء على ضرورة قيام المؤسسات بتطبيق التحديثات الأخيرة من Fortra فورًا، والتحقق من سجلات الأنظمة لرصد أي محاولات وصول مشبوهة أو حسابات غير معروفة، مع تعزيز المراقبة الأمنية لبوابات نقل الملفات الحرجة.
