Uma falha de segurança de gravidade máxima na ferramenta de transferência segura de ficheiros GoAnywhere MFT, da Fortra, está a ser ativamente explorada há quase um mês por um grupo afiliado ao ransomware Medusa. A Microsoft confirmou hoje que a vulnerabilidade, identificada como CVE-2025-10035, foi utilizada como um ataque de dia-zero (zero-day) para comprometer múltiplas organizações.
O grupo de cibercrime, monitorizado pela Microsoft como Storm-1175, tem vindo a explorar a falha desde, pelo menos, 11 de setembro de 2025, uma semana antes de a Fortra ter lançado a correção oficial.
Uma vulnerabilidade crítica e a corrida para a correção
A falha em questão é uma fraqueza de desserialização de dados não fidedignos que afeta a interface web da ferramenta GoAnywhere MFT. Esta vulnerabilidade permite que um atacante execute código remotamente sem necessitar de qualquer interação por parte do utilizador, tornando-a particularmente perigosa.
Embora a Fortra tenha lançado uma atualização de segurança a 18 de setembro, a empresa não mencionou na altura que a falha já estava a ser explorada. Foi a empresa de segurança WatchTowr Labs que, uma semana depois, alertou para a existência de "provas credíveis" de que a vulnerabilidade estava a ser usada em ataques desde 10 de setembro. Atualmente, a fundação Shadowserver monitoriza mais de 500 instâncias do GoAnywhere MFT expostas online, sendo incerto quantas já foram atualizadas.
O método de ataque do grupo Storm-1175
A Microsoft detalhou o modus operandi do grupo Storm-1175. Após obterem o acesso inicial através da exploração da vulnerabilidade, os atacantes implementam ferramentas de monitorização e gestão remota (RMM), como o SimpleHelp e o MeshAgent, para garantir a sua persistência na rede comprometida.
Numa fase seguinte, o grupo utiliza ferramentas como o Netscan para fazer o reconhecimento da rede, move-se lateralmente entre sistemas usando o cliente de Ambiente de Trabalho Remoto da Microsoft (mtsc.exe) e utiliza o Rclone para exfiltrar ficheiros roubados. O golpe final consiste na implementação do ransomware Medusa, que encripta os dados da vítima.
Um historial de ataques e como se proteger
Este não é o primeiro ataque de relevo associado ao grupo Storm-1175. Em julho de 2024, a Microsoft já tinha ligado este grupo à exploração de uma falha no VMware ESXi que resultou em ataques com os ransomwares Akira e Black Basta. Além disso, um aviso conjunto do CISA e do FBI em março revelou que a operação Medusa já tinha impactado mais de 300 organizações de infraestruturas críticas nos Estados Unidos.
A recomendação da Microsoft e da Fortra é clara: os administradores devem atualizar as suas instâncias do GoAnywhere MFT para as versões mais recentes com a máxima urgência. A Fortra aconselha ainda a inspecionar os ficheiros de registo do sistema em busca de erros que contenham a cadeia de texto SignedObject.getObject, um indicador de que o sistema pode ter sido comprometido.
Nenhum comentário
Seja o primeiro!