Microsoft: Celah Kritis GoAnywhere Dieksploitasi dalam Serangan Ransomware Medusa

Microsoft mengonfirmasi bahwa kelompok kejahatan siber Storm-1175 telah mengeksploitasi kerentanan kritis di GoAnywhere MFT dalam serangkaian serangan ransomware Medusa yang berlangsung sejak awal September 2025.

Kerentanan tersebut dilacak sebagai CVE-2025-10035 dan memiliki tingkat keparahan maksimum (CVSS 10.0). Celah ini terdapat pada komponen License Servlet dari GoAnywhere Managed File Transfer (MFT), alat transfer file aman berbasis web milik Fortra.

⚠️ Celah Deserialization yang Dapat Dieksploitasi Jarak Jauh

Kerentanan CVE-2025-10035 disebabkan oleh deserialization data tidak tepercaya, memungkinkan penyerang mengeksekusi kode berbahaya dari jarak jauh tanpa perlu interaksi pengguna.
Eksploitasi ini tergolong low-complexity attack, sehingga dapat dilakukan dengan relatif mudah terhadap server yang belum diperbarui.

Laporan dari Shadowserver Foundation mencatat lebih dari 500 instance GoAnywhere MFT yang masih terbuka ke internet. Belum diketahui berapa banyak di antaranya yang telah ditambal.

Meskipun Fortra merilis patch pada 18 September 2025, mereka tidak menyebut adanya eksploitasi aktif saat itu. Namun, WatchTowr Labs kemudian menemukan bukti kredibel bahwa celah ini telah disalahgunakan sebagai zero-day sejak 10 September, sepekan sebelum tambalan diterbitkan.

🧠 Medusa Gunakan Celah Ini untuk Serangan Ransomware

Microsoft Defender Intelligence mengonfirmasi bahwa kelompok Storm-1175, salah satu afiliasi Medusa ransomware, telah memanfaatkan celah ini untuk mendapatkan akses awal ke jaringan korban sejak 11 September 2025.

“Peneliti Microsoft Defender mengidentifikasi aktivitas eksploitasi di berbagai organisasi yang sejalan dengan taktik, teknik, dan prosedur (TTP) yang dikaitkan dengan Storm-1175,” tulis Microsoft dalam laporan resminya.

Tahapan serangan yang teridentifikasi:

1. Akses Awal: Eksploitasi CVE-2025-10035 pada server GoAnywhere MFT.
2. Persistensi: Penyalahgunaan alat remote monitoring & management (SimpleHelp dan MeshAgent).
3. Eksplorasi Jaringan: Penggunaan Netscan untuk pemetaan sistem internal.
4. Gerakan Lateral: Pemindahan antar-sistem menggunakan Microsoft Remote Desktop (mstsc.exe).
5. Eksfiltrasi Data: Penggunaan Rclone untuk mencuri file sensitif.
6. Enkripsi: Penyebaran payload ransomware Medusa untuk mengunci file korban.

🏥 Dampak dan Riwayat Serangan Medusa

Sebelumnya, pada Maret 2025, CISA bersama FBI dan MS-ISAC merilis peringatan bersama bahwa operasi ransomware Medusa telah memengaruhi lebih dari 300 organisasi infrastruktur kritis di AS.

Microsoft juga mengaitkan Storm-1175 dan tiga kelompok kriminal lain dengan eksploitasi kerentanan autentikasi VMware ESXi pada 2024 yang berujung pada penyebaran Akira dan Black Basta ransomware.

🔒 Rekomendasi Keamanan

Untuk mencegah serangan serupa, Microsoft dan Fortra merekomendasikan langkah berikut:

• Segera perbarui GoAnywhere MFT ke versi terbaru yang dirilis pada 18 September 2025.
• Periksa log server untuk mendeteksi jejak eksploitasi, khususnya entri dengan SignedObject.getObject.
• Batasi akses publik ke antarmuka admin GoAnywhere.
• Terapkan segmentasi jaringan dan pemantauan aktivitas anomali.

“RediShell (CVE-2025-49844) dan CVE-2025-10035 menunjukkan bahwa infrastruktur file transfer kini menjadi target utama kelompok ransomware,” tulis peneliti Microsoft.

🧩 Kesimpulan

Eksploitasi zero-day GoAnywhere oleh kelompok Storm-1175 menegaskan kembali tren meningkatnya serangan terhadap solusi manajemen file perusahaan. Dengan kemampuan untuk mendapatkan akses penuh dan menyebarkan ransomware, celah ini berpotensi mengakibatkan kerugian besar bagi organisasi yang belum memperbarui sistem mereka.

Perusahaan disarankan untuk segera menambal sistem, meninjau log keamanan, dan memperkuat kontrol akses jaringan guna mencegah eksploitasi lebih lanjut.

Sumber: BleepingComputer