أعلنت شركة Fortra يوم الخميس نتائج تحقيقها في ثغرة حرجة داخل GoAnywhere Managed File Transfer (MFT)، حاملة المعرف CVE-2025-10035، والتي تبيّن أنها خضعت لاستغلال نشط منذ 11 سبتمبر 2025 على الأقل. كشفت الشركة عن تسلسل زمني كامل للاكتشاف والاستجابة والتصحيح، مشيرةً إلى تقارير عن نشاط غير مصرح به مرتبط بالثغرة في عدد محدود من الحالات.
اكتشاف وتسلسل الحادث
بدأت Fortra تحقيقها في الثغرة في 11 سبتمبر 2025 بعد إبلاغ أحد الزبائن عن “ثغرة محتملة”، حيث اكتشفت وجود “نشاط مريب محتمل” مرتبط بالمشكلة. في ذات اليوم، تواصلت الشركة مع العملاء الذين وُجِد أن لوحة إدارة GoAnywhere لديهم مكشوفة على الإنترنت، كما أبلغت الجهات القضائية والسلطات المختصة بالحادث.
التصحيح والنشر الزمني
أصدرت Fortra تصحيحًا سريعًا (hotfix) لإصدارات 7.6.x و7.7.x و7.8.x في اليوم التالي للاكتشاف، ثم أطلقت إصدارات كاملة تتضمن التصحيح — الإصدار 7.6.3 و7.8.4 — في 15 سبتمبر 2025. وبعد ثلاثة أيام من ذلك، تم نشر سجل وتعريف الـCVE رسميًا. وأكدت الشركة أن نطاق الخطر يقتصر على العملاء الذين لديهم لوحة الإدارة (admin console) معرضة على الإنترنت فقط، بينما لا تتأثر مكونات ويب أخرى في بنية GoAnywhere بهذه الثغرة.
تفاصيل فنية وتأثير الاستغلال
تتعلق CVE-2025-10035 بمشكلة سلسلة فك تسلسل (deserialization) في License Servlet تسمح بحقن أوامر (command injection) دون مصادقة. وفي تقرير صدر هذا الأسبوع، كشفت مايكروسوفت أن تهديدًا تُسجّله تحت اسم Storm-1175 استغل الثغرة منذ 11 سبتمبر لنشر فدية برمجية تُعرف بـ Medusa. إلا أن ثغرة الاستغلال تطرح سؤالًا تقنيًا جوهريًا — كيف تمكن المهاجمون من الحصول على المفاتيح الخاصة اللازمة لاستيفاء المتطلبات التشفيرية للاستغلال — وهو ما لم تزل السلطات والشركات تحقق فيه.
توصيات الاستجابة والتخفيف
توصي Fortra بشدّة بتقييد الوصول إلى لوحة الإدارة عبر الإنترنت، وتفعيل مراقبة شاملة لأنظمة GoAnywhere، والحفاظ على تحديث البرمجيات بأحدث الإصدارات التي تتضمن التصحيحات الصادرة. كما حثّت الشركة العملاء المعنيين على اتباع أفضل ممارسات الحد من السطح الهجومي، وفحص سجلات النشاط، وإشراك فرق الاستجابة للحوادث عند ظهور أي سلوك غير مألوف.
