-
09/04/2020
-
115
-
1.147 bài viết
CVE‑2025‑10035: Lỗ hổng deserialization đang bị khai thác tích cực trên GoAnywhere
Một lỗ hổng bảo mật có mức độ nghiêm trọng tối đa trong phần mềm quản lý truyền tệp GoAnywhere MFT đã bị khai thác thực tế như một zero-day, cho phép kẻ tấn công thực thi lệnh từ xa mà không cần xác thực. Lỗ hổng này được đánh dấu CVE-2025-10035 và liên quan đến vấn đề deserialization trong License Servlet, cho phép kẻ tấn công tận dụng một chữ ký phản hồi license giả mạo để tiêm lệnh vào hệ thống mục tiêu.
Các chuyên gia an ninh mạng ghi nhận dấu hiệu khai thác sớm, bắt đầu từ ngày 10/9/2025, tức trước ngày công bố công khai và cho rằng thời điểm này làm sáng tỏ việc các chỉ số xâm nhập ban đầu được công bố khá hạn chế. Nhận định chung là với mức CVSS là 10.0 và bối cảnh giải pháp MFT vốn thường được nhắm tới bởi các nhóm APT và ransomware, các quản trị viên cần xem lại khung thời gian phản ứng và ưu tiên vá ngay lập tức.
Về mặt kỹ thuật, chuỗi khai thác bắt đầu bằng một HTTP GET request đặc chế gửi tới endpoint "/goanywhere/license/Unlicensed.xhtml/". Phản hồi từ endpoint này chứa một GUID; việc sử dụng GUID này để tương tác tiếp với License Servlet tại đường dẫn "/goanywhere/lic/accept/<GUID>" cho phép thực hiện bypass xác thực. Sau khi vượt qua lớp xác thực, kẻ tấn công lợi dụng cơ chế deserialization không an toàn để đạt được thực thi mã từ xa. Cơ chế chính xác dẫn tới tiêm lệnh vẫn còn một số điểm chưa được giải mã hoàn toàn, nhưng các bằng chứng kỹ thuật đã chỉ ra chuỗi hành vi rõ ràng.
Bằng chứng phân tích bao gồm stack trace liên quan tới khai thác và chuỗi hành vi hậu xâm nhập. Trình tự hành động quan sát được gồm khai thác lỗ hổng pre‑auth để đạt RCE, tạo tài khoản backdoor với tên "admin-go", sử dụng tài khoản này để tạo một web user có quyền truy cập hợp lệ, rồi tải lên và chạy nhiều payload thứ cấp. Trong số payload được liệt kê có "zato_be.exe" và "jwunst.exe", trong đó "jwunst.exe" tương đồng với nhị phân hợp pháp của một sản phẩm truy cập từ xa, nhưng ở đây bị lạm dụng để duy trì truy cập tay‑người (hands‑on) và bền vững trên các endpoint bị xâm nhập.
Dấu vết quan sát của việc khai thác CVE-2025-10035
Hành vi tấn công còn bao gồm việc thực thi lệnh "whoami/groups" để kiểm tra tài khoản hiện tại và các nhóm Windows liên quan, lưu đầu ra vào file test.txt nhằm mục đích thu thập thông tin quyền hạn và đánh giá cơ hội di chuyển ngang. Ngoài ra, các lỗi liên quan tới chuỗi 'SignedObject.getObject' trong log file và trace trên stack là các chỉ dấu có thể dùng để phát hiện những instance bị ảnh hưởng.
Một phân tích sâu hơn cho thấy CVE-2025-10035 không đứng một mình mà xuất hiện trong bối cảnh một chuỗi vấn đề: bypass kiểm soát truy cập đã tồn tại trước đó, lỗ hổng deserialization hiện tại và một yếu tố bổ sung chưa rõ về cách kẻ tấn công có thể thu thập được một khóa riêng cụ thể. Sự kết hợp này làm tăng mức phức tạp của khai thác và lý giải vì sao kẻ xấu có thể đạt được RCE bằng các bước tương đối trực tiếp sau khi vượt qua lớp xác thực.
Các quan sát kỹ thuật còn liên kết hoạt động khai thác với một địa chỉ IP trước đây bị ghi nhận tham gia các vụ brute‑force; tuy nhiên, các chuyên gia lưu ý rằng việc xác định mối liên hệ hoàn toàn giữa địa chỉ IP và chiến dịch rộng hơn cần thêm bằng chứng và các tổ chức không nên chỉ dựa vào một dấu hiệu duy nhất khi điều tra.
Trước tình trạng khai thác thực tế, khuyến nghị khẩn cấp dành cho quản trị viên là nâng cấp ngay lên phiên bản đã được sửa lỗi (bao gồm các bản vá đã phát hành) và giảm thiểu khả năng truy cập công khai tới giao diện quản trị của giải pháp MFT. Bên cạnh việc cập nhật phần mềm, cần rà soát log để tìm các mục lỗi có chứa 'SignedObject.getObject', kiểm tra sự xuất hiện của các tài khoản bất thường như "admin-go" và các web user mới, đồng thời kiểm tra sự tồn tại của các file/payload khả nghi trên hệ thống. Việc cô lập các host bị ảnh hưởng và tiến hành phân tích forensics với stack trace, file thực thi và trình tự lệnh đã ghi lại sẽ giúp xác định phạm vi xâm phạm và chặn đứng các chuyển hướng di chuyển ngang.
CVE-2025-10035 là một lỗ hổng deserialization có mức độ nghiêm trọng tối đa, nằm trong một chuỗi lỗi phức tạp và đã bị khai thác thực tế trước khi công bố. Đối với những tổ chức sử dụng giải pháp MFT, phản ứng nhanh vá lỗi kịp thời và rà soát log kỹ lưỡng là các bước không thể trì hoãn.
Về mặt kỹ thuật, chuỗi khai thác bắt đầu bằng một HTTP GET request đặc chế gửi tới endpoint "/goanywhere/license/Unlicensed.xhtml/". Phản hồi từ endpoint này chứa một GUID; việc sử dụng GUID này để tương tác tiếp với License Servlet tại đường dẫn "/goanywhere/lic/accept/<GUID>" cho phép thực hiện bypass xác thực. Sau khi vượt qua lớp xác thực, kẻ tấn công lợi dụng cơ chế deserialization không an toàn để đạt được thực thi mã từ xa. Cơ chế chính xác dẫn tới tiêm lệnh vẫn còn một số điểm chưa được giải mã hoàn toàn, nhưng các bằng chứng kỹ thuật đã chỉ ra chuỗi hành vi rõ ràng.
Bằng chứng phân tích bao gồm stack trace liên quan tới khai thác và chuỗi hành vi hậu xâm nhập. Trình tự hành động quan sát được gồm khai thác lỗ hổng pre‑auth để đạt RCE, tạo tài khoản backdoor với tên "admin-go", sử dụng tài khoản này để tạo một web user có quyền truy cập hợp lệ, rồi tải lên và chạy nhiều payload thứ cấp. Trong số payload được liệt kê có "zato_be.exe" và "jwunst.exe", trong đó "jwunst.exe" tương đồng với nhị phân hợp pháp của một sản phẩm truy cập từ xa, nhưng ở đây bị lạm dụng để duy trì truy cập tay‑người (hands‑on) và bền vững trên các endpoint bị xâm nhập.
Dấu vết quan sát của việc khai thác CVE-2025-10035
Một phân tích sâu hơn cho thấy CVE-2025-10035 không đứng một mình mà xuất hiện trong bối cảnh một chuỗi vấn đề: bypass kiểm soát truy cập đã tồn tại trước đó, lỗ hổng deserialization hiện tại và một yếu tố bổ sung chưa rõ về cách kẻ tấn công có thể thu thập được một khóa riêng cụ thể. Sự kết hợp này làm tăng mức phức tạp của khai thác và lý giải vì sao kẻ xấu có thể đạt được RCE bằng các bước tương đối trực tiếp sau khi vượt qua lớp xác thực.
Các quan sát kỹ thuật còn liên kết hoạt động khai thác với một địa chỉ IP trước đây bị ghi nhận tham gia các vụ brute‑force; tuy nhiên, các chuyên gia lưu ý rằng việc xác định mối liên hệ hoàn toàn giữa địa chỉ IP và chiến dịch rộng hơn cần thêm bằng chứng và các tổ chức không nên chỉ dựa vào một dấu hiệu duy nhất khi điều tra.
Trước tình trạng khai thác thực tế, khuyến nghị khẩn cấp dành cho quản trị viên là nâng cấp ngay lên phiên bản đã được sửa lỗi (bao gồm các bản vá đã phát hành) và giảm thiểu khả năng truy cập công khai tới giao diện quản trị của giải pháp MFT. Bên cạnh việc cập nhật phần mềm, cần rà soát log để tìm các mục lỗi có chứa 'SignedObject.getObject', kiểm tra sự xuất hiện của các tài khoản bất thường như "admin-go" và các web user mới, đồng thời kiểm tra sự tồn tại của các file/payload khả nghi trên hệ thống. Việc cô lập các host bị ảnh hưởng và tiến hành phân tích forensics với stack trace, file thực thi và trình tự lệnh đã ghi lại sẽ giúp xác định phạm vi xâm phạm và chặn đứng các chuyển hướng di chuyển ngang.
CVE-2025-10035 là một lỗ hổng deserialization có mức độ nghiêm trọng tối đa, nằm trong một chuỗi lỗi phức tạp và đã bị khai thác thực tế trước khi công bố. Đối với những tổ chức sử dụng giải pháp MFT, phản ứng nhanh vá lỗi kịp thời và rà soát log kỹ lưỡng là các bước không thể trì hoãn.
Tổng hợp