Licencia falsa abrió todas las puertas; solo los hackers detectaron la suplantación
Ocho días de silencio fueron la cobertura perfecta para una operación a gran escala.
Investigadores de WatchTowr Labs informaron sobre ataques activos contra una vulnerabilidad de máxima gravedad en el sistema de gestión de transferencia de archivos GoAnywhere MFT de Fortra. El problema recibió el identificador CVE-2025-10035 y consiste en un error de deserialización en el componente License Servlet, que permite inyectar comandos sin pasar por autenticación. Para explotarla basta usar una respuesta de licencia falsificada con una firma válida.
La empresa Fortra notificó a los clientes sobre la falla el 18 de septiembre; sin embargo, la compañía supo de ella aproximadamente una semana antes y no aclaró cómo se obtuvo la información ni si ya conocía la explotación real. En el informe de WatchTowr se mencionan 'confirmaciones fiables' de ataques desde el 10 de septiembre, es decir, ocho días antes de la publicación del aviso oficial. Por ello, los investigadores pidieron cambiar el enfoque de evaluación de riesgos y tener en cuenta que los atacantes a menudo explotan fallos mucho antes de que aparezcan los boletines.
El análisis de los rastros del ataque mostró que, tras explotar la vulnerabilidad, los atacantes lograban ejecutar comandos en el servidor sin autorización, creaban una cuenta de administrador oculta llamada admin-go y, a partir de ella, añadían un usuario web con privilegios de acceso legítimo. A través de ese usuario se cargaron y ejecutaron componentes adicionales. Entre los archivos descubiertos estaban 'zato_be.exe' y 'jwunst.exe'. Este último es un binario legítimo del programa de administración remota SimpleHelp; sin embargo, en este caso se utilizó para mantener control persistente sobre los sistemas comprometidos.
Los atacantes también ejecutaban el comando 'whoami/groups', cuyos resultados guardaban en el archivo test.txt para su posterior envío. Esto permitía determinar los privilegios del usuario actual y trazar rutas de movimiento lateral dentro de la infraestructura.
Al momento de la publicación, la empresa Fortra no había comentado las conclusiones de WatchTowr. El proveedor lanzó correcciones en la versión actual 7.8.4 y también en la rama de soporte 7.6.3. Se recomienda encarecidamente a los especialistas actualizar los sistemas y, como medida temporal, restringir el acceso a la consola administrativa desde Internet. Además, el desarrollador aconseja revisar los registros en busca de errores que contengan la cadena 'SignedObject.getObject', lo que puede indicar intentos de explotación.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla