sentinel-aidefense/CVE-2025-10035
GitHub: sentinel-aidefense/CVE-2025-10035
针对 Fortra GoAnywhere MFT 反序列化 RCE 漏洞 CVE-2025-10035 的防御性分析与缓解指南。
Stars: 0 | Forks: 0
# CVE-2025-10035 — Fortra GoAnywhere MFT License Servlet 反序列化 RCE
[](https://www.cve.org/CVERecord?id=CVE-2025-10035)
[](https://nvd.nist.gov/vuln/detail/CVE-2025-10035)
[](https://cwe.mitre.org/data/definitions/502.html)
[](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
[](#)
Fortra GoAnywhere MFT 中一个满分(CVSS 10.0)的反序列化攻击链:伪造的许可证响应签名使得未经身份验证的攻击者可以反序列化任意对象,并在文件传输服务器上执行命令。
📄 完整分析:https://sentinelaidefense.com/posts/cve-2025-10035-goanywhere-deserialization.html
## 概述
CVE-2025-10035 是 Fortra GoAnywhere Managed File Transfer (MFT) 的 License Servlet 中存在的一个严重的反序列化漏洞。它允许持有有效伪造许可证响应签名的攻击者反序列化由攻击者控制的任意对象,从而导致命令注入和未经身份验证的远程代码执行 (RCE)。
该漏洞的 CVSS 评分为 **10.0(严重)**。它于 **2025 年 9 月 18 日** 被披露,并由于存在活跃的利用风险,迅速被添加到 CISA KEV 目录中。该漏洞因对处理敏感数据的托管文件传输系统具有重大影响而备受关注。
## 受影响版本
- GoAnywhere MFT **7.8.4** 之前的版本(长期支持版本:**7.6.3** 之前的版本)
补丁已于 2025 年 9 月发布。Fortra 已对云托管的 MFTaaS 实例进行了更新。如果暴露了 License Servlet,早期版本(包括一些仍在支持范围内的版本)将受到漏洞影响。
## 技术分析(根本原因)
该漏洞存在于 License Servlet 的许可证验证逻辑中。即使存在签名,该组件也无法正确清理和验证伪造许可证响应中的序列化对象。这使得攻击者控制的 gadget 能够进行不安全的 Java 反序列化,从而可以链式触发底层操作系统上的命令注入。
这是多个问题的组合,包括访问控制绕过(在早期版本中已知)以及对反序列化对象的不安全处理。如果可以访问 servlet endpoint,则该攻击不需要事先进行身份验证。研究人员指出,这是一个具有高可靠性的“完美” CVSS 10.0 攻击链。
## 攻击链
1. 攻击者伪造恶意的许可证响应(通过合法签名绕过)。
2. 将其发送到暴露的 License Servlet endpoint。
3. 不安全的反序列化触发 gadget 链。
4. 导致在 MFT 服务器上执行任意命令(完全 RCE)。
该漏洞利用是 **未经身份验证的**,并且可以远程执行。在漏洞披露后不久就观察到了扫描和利用尝试,这与之前 GoAnywhere 安全事件中观察到的模式一致。
## 检测指南
- 监控管理员审计日志和应用程序日志,查找可疑的许可证相关活动或涉及反序列化的错误。
- 查找针对 License Servlet endpoint 的意外入站请求(通常位于 `/license` 或类似路径下)。
- 检测 MFT 服务器上异常的进程创建、命令执行或文件修改。
- 网络层面:HTTP 流量中发往管理界面的异常序列化 payload 或伪造的许可证响应。
- 使用 WAF 规则或 endpoint 检测来识别 Java 反序列化特征(例如,类似 ysoserial 的 gadget)。
Fortra 建议检查日志以寻找入侵指标。
## 入侵指标 (IOC)
- 指向 License Servlet 的请求中包含伪造的许可证数据。
- HTTP POST body 中存在可疑的序列化 Java 对象。
- 后渗透痕迹:意外的 shell、webshell 或命令(例如,与从 MFT 环境中外泄数据相关的操作)。
- 与早期扫描相关的已知恶意 IP 范围或 User-Agent(2025 年 9 月 18 日之后)。
请参阅 Fortra 安全公告和 CISA 以获取完整列表。
## 缓解措施
- 立即升级至 GoAnywhere MFT **7.8.4** 或 **7.6.3**(长期支持版本)。
- 限制对管理控制台和 License Servlet 的网络访问 — 仅对受信任的 IP 范围或通过 VPN 暴露。
- 密切监控和审计与许可证相关的活动。
- 应用最小权限原则;限制 MFT 服务账号的权限。
- 在修补之前,考虑暂时隔离易受攻击的实例。
鉴于 GoAnywhere 历史上曾被作为目标(例如,前些年遭受到 **CL0P** 的攻击)及其严重性,如果怀疑存在暴露风险,请优先进行补丁修补和取证审查。
## 参考
- Fortra GoAnywhere MFT 安全公告
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-10035
- CISA 已知被利用漏洞目录
## 免责声明
本仓库仅出于 **防御和教育目的** 发布。它包含分析、检测逻辑和缓解指南。不提供任何功能性漏洞利用代码。请仅在您获得授权进行测试和防御的系统上使用此信息。
由 Sentinel AI Defense 维护 · 研究成果根据协调披露原则负责任地共享。
标签:CISA项目, GoAnywhere MFT, JS文件枚举, 反序列化, 编程工具, 远程代码执行