Sebuah kerentanan dengan tingkat keparahan maksimum di perangkat lunak GoAnywhere Managed File Transfer (MFT) terkonfirmasi telah dieksploitasi oleh peretas sebagai zero-day. Kerentanan ini, tercatat sebagai CVE-2025-10035, memungkinkan eksekusi perintah jarak jauh tanpa autentikasi.
Detail Kerentanan CVE-2025-10035
Celah ini merupakan vulnerabilitas deserialization pada License Servlet GoAnywhere MFT. Penyerang dapat memanfaatkannya dengan menggunakan tanda tangan lisensi palsu yang valid untuk menyuntikkan perintah berbahaya.
Vendor Fortra pertama kali mengumumkan kerentanan ini pada 18 September 2025, meski telah mengetahuinya seminggu sebelumnya. Namun, laporan dari WatchTowr Labs mengungkap bahwa eksploitasi sebenarnya telah terjadi sejak 10 September 2025, delapan hari sebelum pengumuman resmi.
Bukti Eksploitasi di Lapangan
Menurut analisis WatchTowr, penyerang melakukan serangkaian langkah setelah berhasil mengeksploitasi kerentanan ini, termasuk:
- Menjalankan eksekusi perintah jarak jauh melalui celah deserialization.
- Membuat akun backdoor admin bernama admin-go.
- Menggunakan akun tersebut untuk membuat web user yang terlihat sah.
- Mengunggah serta mengeksekusi sejumlah payload sekunder, termasuk zato_be.exe dan jwunst.exe (binary sah dari SimpleHelp yang disalahgunakan untuk akses jarak jauh persisten).
- Menjalankan perintah
whoami/groupsuntuk memetakan hak akses akun yang diretas dan memfasilitasi lateral movement dalam jaringan.
Rekomendasi Mitigasi
Administrator sistem sangat dianjurkan segera:
- Memperbarui GoAnywhere MFT ke versi terbaru 7.8.4 atau 7.6.3 (Sustain Release).
- Menghapus akses publik ke Admin Console untuk mengurangi potensi eksploitasi.
- Memeriksa log file untuk mendeteksi potensi kompromi, khususnya entri yang mengandung string:
SignedObject.getObject
Risiko dan Implikasi
Eksploitasi aktif atas CVE-2025-10035 menegaskan pentingnya respon cepat terhadap kerentanan zero-day. Jika dibiarkan, aktor ancaman dapat memperoleh kendali penuh atas sistem, memasang backdoor, dan memperluas serangan ke lingkungan internal organisasi.
Sumber: WatchTowr