Udnytter kritisk sårbarhed i GoAnywhere MFT i Medusa-angreb

Eskil Sørensen
10.07.2025 14:02
Trusselsaktøren Storm-1175 ser ud til at være aktiv med udnyttelse af Fortra-produkt

Microsoft har bekræftet, at en kendt ransomware-tilknyttet trusselsaktør, Storm-1175, aktivt har udnyttet en kritisk sårbarhed i Fortras GoAnywhere MFT-produkt i en række målrettede angreb med Medusa-ransomware. 

Sårbarheden, EUVD-2025-30225 / CVE-2025-10035, blev udnyttet som 0-dag fra den 10. september og har siden været anvendt til at kompromittere organisationer globalt. Sårbarheden fik ved offentliggørelsen en EPSS-score på 0,23 pct, men den er siden blevet justeret og ligger nu på 82,41 pct. 

Fejlen skyldes deserialisering af ikke-tillidsværdige data i GoAnywhere MFT’s License Servlet. Den kan udnyttes eksternt uden brugerinteraktion og med lav kompleksitet, hvilket gør den særligt attraktiv for trusselsaktører. Fortra udsendte en patch den 18. september, men nævnte ikke aktiv udnyttelse på daværende tidspunkt. En uge senere rapporterede WatchTowr Labs, at sårbarheden blev udnyttet i praksis.

Microsofts analyse: Fra adgang til kryptering

Ifølge Microsofts Defender-team har Storm-1175 udnyttet sårbarheden til at opnå initial adgang og derefter fastholdt kontrol via fjernstyringsværktøjer som SimpleHelp og MeshAgent. Angrebet inkluderer typiske elementer som:

  • Netværksscanning med Netscan 
  • Lateral bevægelse via Microsoft Remote Desktop (mstsc.exe) 
  • Dataeksfiltration med Rclone 
  • Kryptering af filer med Medusa-ransomware 

Medusa og kritisk infrastruktur

Medusa-gruppen har tidligere været involveret i angreb mod over 300 organisationer i kritisk infrastruktur i USA, ifølge en fælles advarsel fra CISA, FBI og MS-ISAC. Storm-1175 har også været forbundet med udnyttelse af VMware ESXi-sårbarheder i angreb med Akira og Black Basta ransomware.

Det anbefales, at organisationer med GoAnywhere MFT i porteføljen straks opgraderer til den nyeste version fra Fortra, gennemgår logfiler for tegn på kompromittering, især SignedObject.getObject-fejl.

Derudover anbefales  det, at netværk overvåges for mistænkelig aktivitet relateret til RMM-værktøjer og Rclone, ligesom der på taktisk plan implementeres segmentering og adgangskontrol for at begrænse bevægelse sideværts. 

Læs mere

Sårbarhed