### Grave vulnerabilidad en GoAnywhere MFT permite ejecución remota de comandos con CVSS 10
#### Introducción
Fortra ha publicado recientemente detalles sobre una vulnerabilidad crítica en su solución GoAnywhere Managed File Transfer (MFT), ampliamente utilizada por grandes empresas y entidades gubernamentales para la transferencia segura de archivos. El fallo, catalogado como CVE-2025-10035, ha sido valorado con la puntuación máxima en la escala CVSS (10.0), lo que pone de manifiesto su gravedad y su potencial para ser explotado en ataques críticos contra infraestructuras sensibles.
#### Contexto del Incidente o Vulnerabilidad
GoAnywhere MFT es una herramienta de transferencia segura de archivos que goza de una alta adopción en sectores como el financiero, salud, retail y administración pública. El historial de este software no es ajeno a incidentes de seguridad: en febrero de 2023, una vulnerabilidad similar permitió la explotación masiva por parte del grupo ransomware Cl0p, lo que resultó en la filtración de datos de cientos de empresas. El CVE-2025-10035, descubierto recientemente, afecta a múltiples versiones del producto y presenta un riesgo comparable o incluso superior, debido a la sencillez relativa de su explotación y el potencial para ejecutar comandos arbitrarios en el sistema afectado.
#### Detalles Técnicos
La vulnerabilidad reside en el componente License Servlet de GoAnywhere MFT, específicamente en el proceso de deserialización de datos. Según la información divulgada por Fortra, un actor con la capacidad de presentar un token de licencia válidamente forjado puede desencadenar la explotación de esta debilidad. El fallo es de tipo «Insecure Deserialization», un vector bien documentado en el marco OWASP Top 10 y referenciado habitualmente en el MITRE ATT&CK (T1055 – Process Injection / T1204 – User Execution).
El CVE-2025-10035 afecta a las siguientes versiones:
– GoAnywhere MFT 7.0.0 hasta 7.4.2 (todas las subversiones incluidas)
– Versiones legacy anteriores a la rama 7.x podrían necesitar revisión manual
El exploit consiste en la inyección de un objeto serializado malicioso en el flujo de verificación de licencias, que posteriormente es deserializado sin las comprobaciones adecuadas. Esto permite la ejecución de código arbitrario bajo el contexto del servicio GoAnywhere, lo que a menudo implica privilegios elevados en el sistema.
Ya se han detectado PoC y exploits funcionales circulando en repositorios públicos y foros underground. Herramientas como Metasploit y Cobalt Strike ya están incorporando módulos para la explotación automatizada de esta vulnerabilidad, aumentando el riesgo de ataques masivos.
Indicadores de Compromiso (IoC) relevantes:
– Solicitudes HTTP a `/goanywhere/license` con payloads anómalos.
– Creación de procesos sospechosos por parte del servicio MFT.
– Modificación de archivos de configuración o binarios en el directorio de instalación de GoAnywhere.
#### Impacto y Riesgos
La explotación exitosa de esta vulnerabilidad permite a un atacante ejecutar comandos arbitrarios en el servidor afectado, con posibilidad de instalar malware, extraer información confidencial, pivotar hacia otros sistemas internos o interrumpir servicios críticos. Dada la naturaleza de GoAnywhere MFT como solución centralizada en la transferencia de archivos, el impacto puede extenderse a la exfiltración de datos sensibles, violaciones de confidencialidad y paradas operativas relevantes.
Según estimaciones preliminares, potencialmente más de 3.000 instancias expuestas podrían ser susceptibles, con un riesgo económico que supera los 100 millones de euros en posibles costes de recuperación, sanciones (especialmente bajo el RGPD y la NIS2) y daño reputacional.
#### Medidas de Mitigación y Recomendaciones
Fortra ha publicado parches urgentes para las versiones afectadas:
– Se recomienda actualizar inmediatamente a GoAnywhere MFT 7.5.0 o superior.
– Restringir el acceso a la interfaz de administración y endpoints de licencia a redes internas y VPNs.
– Monitorizar logs de acceso y procesos secundarios lanzados desde el servicio MFT.
– Aplicar segmentación de red y políticas de principio de menor privilegio para los sistemas que alojan GoAnywhere.
– Revisar integraciones con SIEM/SOC para la detección temprana de actividades anómalas (técnicas ATT&CK T1055 y T1204).
#### Opinión de Expertos
Analistas del sector, como los equipos de SANS y Mandiant, subrayan la importancia de tratar urgentemente las vulnerabilidades de deserialización en soluciones MFT. “El vector de ataque es especialmente peligroso porque suele ser explotable incluso detrás de firewalls y en entornos aparentemente protegidos”, explica Javier Gómez, analista senior de ciberamenazas. Asimismo, se destaca la necesidad de incorporar revisiones de seguridad continuas y pruebas de penetración especializadas en componentes de terceros.
#### Implicaciones para Empresas y Usuarios
Para las organizaciones sujetas al RGPD o la NIS2, el compromiso de información a través de GoAnywhere puede traducirse en sanciones económicas severas y la obligación de notificar a los afectados y autoridades. Las empresas deben revisar no solo sus instancias de GoAnywhere, sino también cualquier integración o automatización que dependa del MFT, ya que un compromiso en este punto puede ser utilizado para el movimiento lateral y la escalada de privilegios.
#### Conclusiones
La vulnerabilidad CVE-2025-10035 en GoAnywhere MFT representa una amenaza crítica para la ciberseguridad corporativa, dada su gravedad, la facilidad de explotación y el alto valor de los activos que gestiona. La actualización inmediata y la mejora de las medidas de detección y respuesta son imprescindibles para mitigar el riesgo, junto con una revisión profunda de los controles de acceso y la monitorización de actividad anómala.
(Fuente: feeds.feedburner.com)