**Cibercriminales explotan vulnerabilidad crítica (CVE-2025-10035) en Fortra GoAnywhere MFT para ejecución remota de comandos**
—
### 1. Introducción
En el entorno actual de ciberseguridad, la gestión segura de transferencias de archivos (MFT, por sus siglas en inglés) es crítica, especialmente para organizaciones sujetas a regulaciones estrictas como GDPR o NIS2. En las últimas horas, se ha detectado una campaña activa de explotación dirigida contra una vulnerabilidad recientemente identificada en GoAnywhere MFT de Fortra, catalogada como CVE-2025-10035, la cual permite la ejecución remota de comandos sin necesidad de autenticación previa. Este incidente representa un riesgo significativo tanto para la confidencialidad como para la integridad de los datos gestionados a través de esta plataforma.
—
### 2. Contexto del Incidente o Vulnerabilidad
GoAnywhere MFT, desarrollado por Fortra (anteriormente HelpSystems), es una solución ampliamente adoptada por grandes empresas y organismos públicos para la transferencia segura y automatizada de archivos. El historial de ataques previos contra esta plataforma, como el exploit de 2023 vinculado al grupo Cl0p, ha puesto en evidencia el interés de los actores de amenazas en aprovechar cualquier debilidad en este tipo de software.
La vulnerabilidad CVE-2025-10035 ha sido valorada con una puntuación CVSS de 10.0, el máximo posible, situándola en el nivel crítico y requiriendo atención inmediata por parte de los equipos de ciberseguridad. El fallo afecta a las versiones de GoAnywhere MFT anteriores a la 7.5.0 y permite a los atacantes ejecutar comandos arbitrarios en el sistema afectado sin necesidad de credenciales.
—
### 3. Detalles Técnicos
#### Identificador y alcance
– **CVE:** CVE-2025-10035
– **Vector de ataque:** Ejecución remota de comandos (RCE) sin autenticación
– **Versiones afectadas:** Fortra GoAnywhere MFT < 7.5.0
– **Vector de red:** El atacante puede interactuar directamente con el servicio expuesto, normalmente a través de puertos estándar HTTP/S (80, 443).
– **TTPs MITRE ATT&CK relevantes:**
– Initial Access: Exploit Public-Facing Application (T1190)
– Execution: Command and Scripting Interpreter (T1059)
– Defense Evasion: Indicator Removal from Tools (T1070.004)
#### Mecanismo de explotación
Según los análisis publicados, el exploit permite la inyección directa de comandos en el servidor afectado a través de una petición maliciosa, sin requerir autenticación. Herramientas como Metasploit ya han incorporado módulos específicos para esta vulnerabilidad, lo que facilita la explotación automatizada. Se han observado indicadores de compromiso (IoC) tales como patrones inusuales en los logs de auditoría, conexiones externas sospechosas y la presencia de web shells o scripts maliciosos en los sistemas comprometidos.
—
### 4. Impacto y Riesgos
El riesgo principal reside en la posibilidad de que un atacante obtenga control total sobre el sistema comprometido, pudiendo exfiltrar información sensible, desplegar ransomware, crear cuentas persistentes o pivotar hacia otros activos de la red interna. Se estima que más del 18% de las implementaciones globales de GoAnywhere MFT permanecen expuestas en internet sin los parches correspondientes, lo que multiplica el radio de ataque.
En términos económicos, brechas previas en plataformas MFT han supuesto pérdidas superiores a los 50 millones de dólares en daños directos e indirectos, además de sanciones regulatorias bajo GDPR y NIS2 por exposición de datos personales o críticos.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Aplicar el parche:** Actualizar de inmediato a la versión 7.5.0 o superior de GoAnywhere MFT.
– **Monitorización:** Revisar los logs en busca de actividad sospechosa, especialmente accesos no autenticados y ejecución de comandos no autorizados.
– **Restricción de acceso:** Limitar la exposición de la interfaz administrativa y de usuario del MFT a redes internas o VPN.
– **Implementar WAF:** Configurar firewalls de aplicación web para bloquear patrones de explotación conocidos.
– **Desplegar EDR:** Utilizar herramientas de detección y respuesta en endpoints para identificar movimientos laterales o persistencia.
– **Revisión de credenciales:** Cambiar todas las credenciales y claves API asociadas tras la aplicación del parche.
—
### 6. Opinión de Expertos
Analistas de amenazas de firmas como Mandiant y Recorded Future han advertido que la rapidez en la explotación de vulnerabilidades críticas en plataformas MFT se ha incrementado notablemente en los últimos años, en parte gracias a la disponibilidad de exploits públicos y la automatización de ataques mediante frameworks como Cobalt Strike y Metasploit. Según Javier Soriano, CISO de una multinacional financiera, “la superficie de ataque en plataformas MFT es especialmente crítica porque suelen ser nodos de confianza para transferencia de datos sensibles. Una brecha en este punto puede desencadenar incidentes de gran impacto regulatorio y reputacional”.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas que utilicen GoAnywhere MFT deben considerar este incidente como una llamada de atención para revisar no solo el ciclo de parcheo sino también la arquitectura de seguridad perimetral y los procedimientos de respuesta a incidentes. La exposición de sistemas críticos a internet sin control riguroso incrementa exponencialmente el riesgo de ataques dirigidos, especialmente por parte de grupos de ransomware y actores de amenazas persistentes (APT).
Por su parte, los usuarios finales podrían verse afectados indirectamente si sus datos personales o corporativos son objeto de exfiltración, lo que podría traducirse en notificaciones de brecha y potenciales reclamaciones legales bajo GDPR.
—
### 8. Conclusiones
La explotación activa de la vulnerabilidad CVE-2025-10035 en Fortra GoAnywhere MFT pone de manifiesto la necesidad de una vigilancia constante y una gestión ágil de vulnerabilidades en entornos críticos. La rapidez de reacción ante este tipo de amenazas, junto con una adecuada segmentación de red y la aplicación de parches, resultan esenciales para mitigar el riesgo. Los equipos de ciberseguridad deben priorizar la revisión y fortificación de sus plataformas MFT, así como mantener una política de hardening y monitorización proactiva.
(Fuente: www.bleepingcomputer.com)