Vulnerabilidad Zero-Day en Fortra GoAnywhere MFT Permite Creación de Cuentas Administrativas Maliciosas

Introducción

El sector de la ciberseguridad se ha visto sacudido por la reciente explotación de una vulnerabilidad crítica en Fortra GoAnywhere MFT (Managed File Transfer). Ocho días antes de la publicación de los parches oficiales, actores maliciosos lograron comprometer instancias expuestas mediante la explotación de la vulnerabilidad CVE-2025-10035, empleando técnicas de zero-day. La explotación permitió la creación de cuentas de administrador ocultas, lo que pone de manifiesto la importancia de una gestión proactiva de vulnerabilidades en infraestructuras críticas.

Contexto del Incidente o Vulnerabilidad

Fortra GoAnywhere MFT es una solución ampliamente utilizada en sectores como finanzas, salud, retail y administración pública para la transferencia segura de archivos. La vulnerabilidad, identificada como CVE-2025-10035, fue detectada y explotada activamente antes de que Fortra publicara un parche correctivo. Según los informes, los atacantes se aprovecharon de la falta de controles robustos en el proceso de registro y administración de cuentas, lo que les permitió crear cuentas de administrador con privilegios completos sin requerir credenciales válidas ni autenticación previa.

Detalles Técnicos

La vulnerabilidad CVE-2025-10035 afecta a versiones de GoAnywhere MFT anteriores a la 7.5.5. La explotación se basa en un fallo de validación en el endpoint de administración de usuarios, permitiendo la escalada de privilegios mediante la manipulación de peticiones HTTP. El vector de ataque más común identificado fue el acceso a interfaces administrativas expuestas a Internet, donde los atacantes ejecutaron solicitudes especialmente diseñadas para crear cuentas administrativas. Se han observado TTPs alineadas con la matriz MITRE ATT&CK, específicamente:

– **TA0001 (Initial Access):** Acceso inicial mediante explotación de servicios expuestos.
– **T1078 (Valid Accounts):** Creación de cuentas administrativas persistentes.
– **T1059 (Command and Scripting Interpreter):** Ejecución de comandos post-explotación.

Entre los indicadores de compromiso (IoCs) detectados se incluyen registros de creación de usuarios no autorizados, conexiones inusuales desde direcciones IP externas y modificaciones de archivos de configuración. Los equipos de respuesta han reportado el uso de frameworks como Metasploit para la explotación automatizada y Cobalt Strike para el movimiento lateral y persistencia.

Impacto y Riesgos

El impacto potencial de este incidente es considerable. Se estima que más de 2.500 instancias de GoAnywhere MFT expuestas a Internet podrían estar en riesgo. La creación de cuentas administrativas backdoor permite el acceso total al sistema comprometido, facilitando desde la exfiltración de datos confidenciales hasta la distribución de malware y ransomware. Organizaciones afectadas se enfrentan a riesgos de violación de datos, paralización de operaciones críticas y exposición a sanciones regulatorias bajo legislaciones como el GDPR y la directiva NIS2. Fortra ha confirmado que la explotación activa precedió al despliegue de parches en, al menos, un 15% de las organizaciones identificadas como vulnerables.

Medidas de Mitigación y Recomendaciones

Fortra ha publicado la versión 7.5.5 de GoAnywhere MFT, que corrige la vulnerabilidad. Se recomienda encarecidamente aplicar este parche de forma prioritaria. Otras medidas de mitigación incluyen:

– Restringir el acceso a la interfaz administrativa a redes internas o mediante VPN.
– Auditar y monitorizar cuentas de usuario, eliminando cualquier cuenta administrativa no reconocida.
– Implementar MFA (autenticación multifactor) en todas las cuentas privilegiadas.
– Revisar logs en busca de actividades sospechosas y correlacionar con IoCs publicados.
– Desplegar sistemas EDR y SIEM para detección proactiva de movimientos laterales y persistencia.

Opinión de Expertos

Especialistas en ciberseguridad, como Jake Williams (ex NSA) y David Kennedy (TrustedSec), destacan la gravedad del incidente. “La explotación de zero-days en soluciones de transferencia gestionada de archivos representa un riesgo sistémico para cadenas de suministro y entidades reguladas. La visibilidad y control sobre interfaces expuestas sigue siendo el talón de Aquiles de muchas organizaciones”, comenta Williams. Kennedy añade: “La rápida explotación previa al parche evidencia la sofisticación y capacidad de los grupos de amenazas actuales, especialmente los vinculados a ransomware-as-a-service”.

Implicaciones para Empresas y Usuarios

Para las empresas, la explotación de CVE-2025-10035 supone un reto en términos de cumplimiento normativo, continuidad de negocio y reputación. Las organizaciones reguladas bajo GDPR, NIS2 y normativas sectoriales pueden enfrentarse a investigaciones y sanciones por exposición de datos sensibles. Los usuarios y socios comerciales, por su parte, deben ser informados proactivamente sobre posibles brechas y medidas de contención. La tendencia creciente de ataques dirigidos a software de transferencia de archivos subraya la necesidad de una gestión continua de vulnerabilidades, segmentación de red y formación específica para equipos de IT y seguridad.

Conclusiones

La explotación de la vulnerabilidad CVE-2025-10035 en Fortra GoAnywhere MFT pone de relieve la rapidez con la que los actores de amenazas pueden capitalizar fallos críticos antes de la publicación de parches. La respuesta debe centrarse en la actualización inmediata, la revisión exhaustiva de accesos y la adopción de controles adicionales para proteger infraestructuras críticas. El incidente refuerza la necesidad de una vigilancia constante, estrategias de hardening y colaboración entre fabricantes, CERTs y equipos de respuesta.

(Fuente: www.securityweek.com)