Am 18. September 2025 hat Fortra eine schwerwiegende Sicherheitslücke in GoAnywhere MFT veröffentlicht. Betroffen ist das License Servlet, das für die Lizenzprüfung verantwortlich ist.
Die Schwachstelle (CVE-2025-10035) erlaubt es Angreifern, eine manipulierte Lizenzantwort mit gültig aussehender Signatur einzuschleusen. Dadurch kann ein beliebiges, von Angreifern kontrolliertes Objekt deserialisiert werden. In der Folge ist sogar Command Injection möglich.
Die Lücke wurde mit CVSS 3.1 Score 10.0 als kritisch eingestuft. Sie kann ohne Authentifizierung und mit geringem Aufwand über das Netzwerk ausgenutzt werden, sofern die Admin-Konsole öffentlich erreichbar ist.
Administratoren sollten ihre Admin-Audit-Logs und Fehlerprotokolle überprüfen. Verdächtig ist insbesondere das Auftreten von Einträgen mit:
SignedObject.getObject
Error parsing license response
java.lang.RuntimeException: InvocationTargetException
Wenn diese Zeichenkette im Stacktrace erscheint, ist die Instanz wahrscheinlich betroffen.
Betroffene Produkte
- GoAnywhere MFT (ungepatchte Versionen vor 7.8.4 bzw. Sustain Release 7.6.3)
Maßnahmen & Empfehlungen
- Sofortmaßnahme: Admin-Konsole nicht öffentlich zugänglich machen.
- Update: Upgrade auf Version 7.8.4 oder Sustain Release 7.6.3.
- Monitoring: Protokolle regelmäßig prüfen, um potenzielle Kompromittierungen frühzeitig zu erkennen.
