Underc0de - La Casa de los Informáticos

Microsoft ha confirmado que el grupo de ciberamenazas Storm-1175 está detrás de la explotación activa de una falla crítica en el software Fortra GoAnywhere MFT, utilizada para desplegar el ransomware Medusa, una de las variantes más agresivas y dañinas del panorama actual.

La vulnerabilidad, registrada como CVE-2025-10035, posee una puntuación CVSS de 10.0, la máxima posible, y afecta a múltiples versiones de GoAnywhere MFT. El fallo se debe a un error de deserialización sin autenticación, lo que permite a los atacantes inyectar comandos arbitrarios y ejecutar código remoto (RCE).

Según Microsoft Threat Intelligence, la vulnerabilidad permite que un actor malicioso con una firma de licencia falsificada deserialice objetos controlados por el atacante, abriendo la puerta a la ejecución remota de código en el servidor afectado.

Detalles técnicos de la vulnerabilidad CVE-2025-10035

Fortra, la empresa responsable de GoAnywhere, abordó el problema en las versiones 7.8.4 y 7.6.3 de Sustain, pero los ataques comenzaron antes de la publicación del parche, lo que indica una ventana de explotación activa previa a la corrección.

El exploit descubierto permite a los ciberdelincuentes ejecutar comandos sin autenticación, lo que, en entornos empresariales, puede derivar en:

• Compromiso total del sistema.
• Movimiento lateral dentro de la red corporativa.
• Exfiltración de datos confidenciales.
• Despliegue de ransomware o malware adicional.

Microsoft confirmó que Storm-1175 explotó la vulnerabilidad desde el 11 de septiembre de 2025, mientras que la firma de ciberseguridad watchTowr reportó actividad maliciosa desde al menos el 10 de septiembre, señalando una explotación sostenida y sigilosa durante semanas.

¿Quién es Storm-1175 y cuál es su modus operandi?

Storm-1175 es un grupo de ciberdelincuentes especializado en ransomware y explotación de vulnerabilidades públicas. Este colectivo ha estado vinculado a múltiples campañas de intrusión que combinan técnicas avanzadas de persistencia con el despliegue de ransomware Medusa, conocido por su capacidad de cifrar grandes volúmenes de información y presionar a las víctimas mediante tácticas de doble extorsión.

Una vez que Storm-1175 logra acceso inicial a los servidores vulnerables de GoAnywhere, ejecuta una compleja cadena de ataque que incluye:

• Instalación de herramientas de acceso remoto (RMM) como SimpleHelp y MeshAgent, para mantener persistencia.
• Creación de archivos .jsp dentro de los directorios MFT del servidor comprometido, permitiendo la ejecución continua de comandos maliciosos.
• Ejecución de scripts de reconocimiento para identificar usuarios, redes internas y sistemas conectados.
• Uso de mstsc.exe (Conexión a Escritorio remoto de Windows) para movimiento lateral y expansión del compromiso.
• Establecimiento de canales de comando y control (C2) mediante túneles de Cloudflare, dificultando la detección del tráfico malicioso.
• Uso de Rclone para la exfiltración de datos sensibles antes de desplegar el ransomware Medusa.

El ataque culmina con la encriptación masiva de archivos críticos y la publicación de los datos robados si las víctimas no cumplen con las exigencias económicas del grupo.

Fortra y la falta de transparencia en la respuesta

La explotación de la vulnerabilidad ha generado fuertes críticas hacia Fortra por su aparente lentitud y falta de comunicación durante el proceso de divulgación. Benjamin Harris, CEO de watchTowr, afirmó:

Citar"Las organizaciones que ejecutan GoAnywhere MFT han estado efectivamente bajo ataque silencioso desde al menos el 11 de septiembre, con poca claridad por parte de Fortra. La confirmación de Microsoft ahora pinta una imagen bastante desagradable: explotación, atribución y una ventaja de un mes para los atacantes".

Harris también cuestionó cómo los atacantes obtuvieron las claves privadas necesarias para explotar el sistema y por qué las organizaciones afectadas no fueron alertadas de inmediato.

Citar"Los clientes merecen transparencia, no silencio. Esperamos que Fortra brinde respuestas para que las empresas comprendan su nivel real de exposición ante una vulnerabilidad que está siendo explotada activamente en la naturaleza", añadió.

Impacto global y riesgos para las organizaciones

GoAnywhere MFT es ampliamente utilizado por empresas financieras, tecnológicas y gubernamentales para transferir datos sensibles de manera segura. Por tanto, esta vulnerabilidad representa un riesgo crítico de seguridad empresarial y de cumplimiento normativo.

Las organizaciones que no han actualizado a las versiones parcheadas corren el riesgo de:

• Pérdida o robo de datos críticos.
• Interrupciones operativas significativas.
• Costos de recuperación y reputacionales elevados.
• Sanciones por incumplimiento de normativas de protección de datos.

Medidas de mitigación y protección recomendadas

Microsoft y expertos en ciberseguridad recomiendan tomar las siguientes medidas de inmediato:

• Actualizar GoAnywhere MFT a la versión 7.8.4 o superior, o 7.6.3 de Sustain.
• Revisar los registros del sistema en busca de archivos .jsp sospechosos o actividades anómalas.
• Deshabilitar accesos remotos innecesarios y restringir el tráfico entrante a GoAnywhere.
• Implementar autenticación multifactor (MFA) para todos los usuarios administrativos.
• Monitorizar herramientas RMM desconocidas que puedan indicar persistencia del atacante.
• Verificar la integridad de los certificados y claves privadas utilizadas en la instancia.

En fin...

La confirmación de Microsoft sobre la explotación activa de CVE-2025-10035 marca un nuevo episodio alarmante en la seguridad empresarial. La combinación de un error crítico, una explotación silenciosa y una respuesta tardía ha dejado a miles de organizaciones expuestas a ataques devastadores de ransomware Medusa.

Actualizar inmediatamente, reforzar la autenticación y revisar los registros de actividad son pasos esenciales para mitigar los riesgos y prevenir daños irreversibles. En un entorno donde los actores de amenazas actúan con rapidez y precisión quirúrgica, la respuesta proactiva y la transparencia se han vuelto más importantes que nunca.

Fuente: https://thehackernews.com/