Vulnerabilidad crítica en GoAnywhere MFT: CVE-2025-10035 en explotación activa

Descubre la vulnerabilidad crítica CVE-2025-10035 en GoAnywhere MFT, cómo se está explotando por Storm-1175 y las recomendaciones de Microsoft para protegerte.

Ana Blanco Vigo
7 de oct. de 2025
3 min de lectura
Seguridad
Hacker

Hace poco, Fortra publicó un aviso de seguridad sobre una vulnerabilidad de deserialización crítica en el License Servlet de GoAnywhere MFT. Esta vulnerabilidad, identificada como CVE-2025-10035, tiene una puntuación CVSS de 10.0, lo que la convierte en algo muy serio. ¿Qué significa esto? Pues que un atacante con una firma de licencia falsificada puede deserializar un objeto controlado por el atacante, lo que podría llevar a la ejecución remota de código (RCE).

Alerta de seguridad

Un grupo de ciberdelincuentes conocido como Storm-1175, famoso por usar el ransomware Medusa, ha estado aprovechando esta vulnerabilidad. Microsoft está instando a todos los usuarios a actualizar a la última versión lo antes posible. Vamos a ver de qué va todo esto.

¿Qué es la vulnerabilidad CVE-2025-10035?

Esta vulnerabilidad es un fallo de deserialización que afecta a las versiones de Admin Console de License Servlet de GoAnywhere MFT hasta la 7.8.3. Permite a un atacante saltarse la verificación de la firma mediante la creación de una firma de respuesta de licencia falsificada. Una vez dentro, pueden hacer de las suyas, ejecutando código de forma remota.

Lo peor de todo es que no se requiere autenticación si el atacante puede crear o interceptar respuestas de licencia válidas. Esto hace que las instancias expuestas a Internet sean especialmente vulnerables.

El impacto de la vulnerabilidad

Si un atacante logra explotar esta vulnerabilidad, puede:

  • Realizar un reconocimiento del sistema y los usuarios.
  • Mantener el acceso a largo plazo.
  • Desplegar herramientas adicionales para moverse lateralmente y distribuir malware.

Por eso, la recomendación es clara: parchear de inmediato, revisar los mecanismos de verificación de licencias y vigilar de cerca cualquier actividad sospechosa en los entornos de GoAnywhere MFT.

Actividad de explotación por Storm-1175

Los investigadores de Microsoft Defender han detectado actividad de explotación en varias organizaciones, relacionada con las tácticas, técnicas y procedimientos (TTP) de Storm-1175. Esta actividad se observó por primera vez el 11 de septiembre de 2025.

El ataque se desarrolla en varias etapas:

  1. Acceso inicial: Explotación de la vulnerabilidad de deserialización en GoAnywhere MFT.
  2. Persistencia: Abuso de herramientas de monitorización y gestión remota (RMM), como SimpleHelp y MeshAgent.
  3. Descubrimiento: Ejecución de comandos para descubrir usuarios y sistemas, y despliegue de herramientas como netscan.
  4. Movimiento lateral: Uso de mstsc.exe para moverse entre sistemas dentro de la red comprometida.
  5. Comando y control (C2): Uso de herramientas RMM para establecer su infraestructura y configurar un túnel Cloudflare para una comunicación C2 segura.
  6. Exfiltración: Despliegue y ejecución de Rclone en al menos un entorno de víctima.
  7. Objetivos: Despliegue exitoso del ransomware Medusa en un entorno comprometido.

¿Cómo protegerse?

Microsoft recomienda las siguientes medidas para reducir el impacto de esta amenaza:

  • Actualizar a la última versión de GoAnywhere MFT: Esta es la medida más importante.
  • Revisar los mecanismos de verificación de licencias: Asegúrate de que sean robustos y no permitan la falsificación.
  • Monitorizar la actividad en los entornos de GoAnywhere MFT: Busca cualquier comportamiento sospechoso.

Protección de Microsoft Defender XDR

Microsoft Defender XDR ofrece una serie de detecciones y alertas para proteger a los clientes de esta amenaza:

  • Microsoft Defender Vulnerability Management: Identifica los dispositivos vulnerables a CVE-2025-10035.
  • Microsoft Defender for Endpoint: Detecta posibles intentos de explotación y actividades maliciosas relacionadas.
  • Microsoft Defender Experts for XDR: Notifica sobre cualquier actividad posterior a la explotación y recomienda acciones.
  • Microsoft Security Copilot: Ayuda a investigar y responder a incidentes, buscar amenazas y proteger la organización.

Además, Microsoft Defender Antivirus detecta el ransomware Medusa, utilizado en este ataque.

La vulnerabilidad CVE-2025-10035 en GoAnywhere MFT es una amenaza seria que está siendo explotada activamente. Es crucial que los usuarios tomen medidas inmediatas para proteger sus sistemas, siguiendo las recomendaciones de Fortra y Microsoft. Mantente alerta y no dudes en contactar con los expertos si necesitas ayuda.