CVE-2025-10035 検出: Storm-1175 が重大な Fortra GoAnywhere MFT の脆弱性を悪用して Medusa ランサムウェアを展開

アクティブな悪用の報告に続いて、 CVE-2025-61882、最近のCl0pデータ窃盗攻撃で利用されたOracle E-Business Suiteの欠陥に続き、Fortra GoAnywhereソフトウェアに重大な問題が浮上しました。新たに公開された脆弱性、CVE-2025-10035として追跡されており、認証されていないコマンドインジェクションが可能で、 RCE すでにStorm-1175という脅威グループによってMedusaランサムウェアを展開するために武器化されています。

Storm-1175にリンクされたCVE-2025-10035の悪用試行を検出する

2025年にNISTによって記録された35,000以上の新しい脆弱性により、サイバーセキュリティチームは時間との激しい競争に直面しています。脆弱性の悪用が主な攻撃ベクトルとして支配的であり続け、脅威がますます高度化する中、攻撃者のペースに追いつくためには積極的な検出が極めて重要です。

今すぐSOC Primeプラットフォームに登録しましょう これにより、従業員は脆弱性悪用を利用してシステムを危険にさらす洗練された攻撃キャンペーンを凌ぐためのキュレーションされた検出コンテンツとAIネイティブな脅威インテリジェンスの膨大なコレクションにアクセスできます。SOC Primeチームは最近、Storm-1175の敵対活動に関連する最新のCVE-2025-10035の悪用試行に対処する新しいSigmaルールをリリースしました。

GoAnywhere Managed File Transfer CVE-2025-10035の悪用パターン（cmdline経由）

このSigmaルールは MITRE ATT＆CK®フレームワークに沿っており、初期アクセスの戦術および公開されたアプリケーションを悪用する技術（T1190）に対処しています。ルールは、30以上のSIEM、EDR、およびデータレイクプラットフォームで使用でき、複数の環境全体での検出エンジニアリング手順を加速します。

この脅威に対処する包括的な検出スタックにアクセスし、組織が露出のリスクを軽減するのに役立てるためには、 検出を探索する ボタンをクリックしてください。

検出を探索する

脆弱性悪用の検出のためのSOCコンテンツのより広範な範囲については、セキュリティエンジニアは「CVE」タグを適用することもできます。

セキュリティエンジニアはまた、 Uncoder AI、検出エンジニアリングのためのIDEおよびコーパイロットを活用できます。Uncoderにより、防衛者はIOCをカスタムハンティングクエリに即座に変換し、生の脅威レポートから検出コードを作成し、Attack Flow図を生成し、ATT＆CKタグの予測を有効にし、AI駆動のクエリ最適化を利用し、複数のプラットフォームで検出コンテンツを翻訳することができます。たとえば、サイバー防衛者は、最新の Microsoft Threat Intelligenceチーム のレポートから、選択したSIEMまたはEDR環境で実行可能なカスタムIOCクエリに即座に変換できます。

または、セキュリティ専門家は、 チャットボット機能およびMCPツールサポートで強化された新しいUncoder AIモードを活用して、数クリックでAttack Flow図を生成できます。

CVE-2025-10035の分析

2025年9月18日、 Fortraは GoAnywhere Managed File Transfer (MFT) ライセンスサーブレットの重大な脆弱性の詳細を示すセキュリティアドバイザリを発行しました。この脆弱性は CVE-2025-10035 として追跡され、最高のCVSSスコア10.0を持っています。この欠陥により、攻撃者が偽のライセンス応答署名を作成し、任意の攻撃者が制御するオブジェクトのデシリアライズを実行することで、コマンドインジェクションを誘発し、潜在的にRCEを実行することが可能になります。

Microsoft Threat Intelligenceチーム プロ公表の際、この脆弱性のアクティブな悪用はStorm-1175グループによるものとして帰責され、 Medusaランサムウェア を展開し初期アクセスのために公開アプリケーションを利用することで知られています。この脆弱性は、攻撃者がライセンス応答のメカニズムを操作して署名検証をバイパスすることが可能なソフトウェアバージョン7.8.3まで影響を及ぼします。

研究者たちは、2025年9月11日から最も早い関連するインシデントを含む、複数の組織での悪用活動が観察されています。Storm-1175の複数ステージの攻撃チェーンは、初期アクセスのためのゼロデイ欠陥の悪用で始まり、その後、GoAnywhere MFTプロセスの下にドロップされたSimpleHelpやMeshAgentリモートRMMツールを通じた持続性を確保しました。攻撃者はまた、これらのRMMペイロードと共にMFTディレクトリ内に.jspウェブシェルを作成しました。

その後の活動には、ユーザおよびシステム調査、netscanを使用したネットワークスキャンと、mstsc.exeを経由した横移動が含まれていました。指令と制御（C2）には、配備されたRMMツールが使用され、Cloudflareトンネルが暗号化通信用に確立されました。抽出ステージでは、Rcloneがデータを抽出するために実行され、少なくとも1つの確認されたMedusaランサムウェア展開のケースがありました。

成功した悪用により、正当なライセンス応答を作成または傍受できる場合、認証されていない攻撃者が脆弱なシステムでコマンドインジェクションとRCEを達成することが可能になり、この問題はインターネットに接続されたGoAnywhereインスタンスにとって非常に危険です。一度侵入されれば、攻撃者はシステムとユーザーの検索を行い、持続性を維持し、横移動やランサムウェアペイロードの配布を行うための追加ツールを展開することができます。

CVE-2025-10035の悪用リスクを最小限に抑えるための可能性のある軽減策には、Fortraの推奨に従ってパッチを直ちに適用することが含まれます。ただし、アップグレードは以前の悪用活動には対処しないため、システムの影響を受けた部分のレビューが必要な場合があります。これには、ライセンス検証メカニズムの監査や、GoAnywhere環境の異常な活動の綿密な監視が含まれ、脅威への露出を減少させることができます。

CVE-2025-10035の悪用の脅威の高まり、および攻撃者の月単位のリードタイムと確認されたランサムウェア展開は、高度なサイバーセキュリティの警戒と積極的な防御策の急務を強調しています。SOC Primeは、 AI、オートメーション機能、リアルタイムの脅威インテリジェンスを駆使し、防衛者に最先端の技術を装備して運用コストを最適化し、スケーラビリティを改善しながら最も早期にサイバーアタックを未然に防ぐように設計された 完全な製品スイート