Kritische Deserialization-Schwachstelle in GoAnywhere MFT (CVE-2025-10035)

Table of Contents

Am 18. September 2025 hat Fortra eine schwerwiegende Sicherheitslücke in GoAnywhere MFT veröffentlicht. Betroffen ist das License Servlet, das für die Lizenzprüfung verantwortlich ist.

Die Schwachstelle (CVE-2025-10035) erlaubt es Angreifern, eine manipulierte Lizenzantwort mit gültig aussehender Signatur einzuschleusen. Dadurch kann ein beliebiges, von Angreifern kontrolliertes Objekt deserialisiert werden. In der Folge ist sogar Command Injection möglich.

Die Lücke wurde mit CVSS 3.1 Score 10.0 als kritisch eingestuft. Sie kann ohne Authentifizierung und mit geringem Aufwand über das Netzwerk ausgenutzt werden, sofern die Admin-Konsole öffentlich erreichbar ist.

Administratoren sollten ihre Admin-Audit-Logs und Fehlerprotokolle überprüfen. Verdächtig ist insbesondere das Auftreten von Einträgen mit:

SignedObject.getObject
Error parsing license response
java.lang.RuntimeException: InvocationTargetException

Wenn diese Zeichenkette im Stacktrace erscheint, ist die Instanz wahrscheinlich betroffen.

Betroffene Produkte

  • GoAnywhere MFT (ungepatchte Versionen vor 7.8.4 bzw. Sustain Release 7.6.3)

Maßnahmen & Empfehlungen

  • Sofortmaßnahme: Admin-Konsole nicht öffentlich zugänglich machen.
  • Update: Upgrade auf Version 7.8.4 oder Sustain Release 7.6.3.
  • Monitoring: Protokolle regelmäßig prüfen, um potenzielle Kompromittierungen frühzeitig zu erkennen.

Related Posts

Großangelegte Datendiebstähle über Salesloft Drift treffen Salesforce-Instanzen

Die Google Threat Intelligence Group (GTIG) und Mandiant haben eine umfangreiche Angriffskampagne durch den Akteur UNC6395 aufgedeckt. Dabei wurden kompromittierte OAuth-Tokens aus der Drittanbieter-App Salesloft Drift genutzt, um auf zahlreiche Salesforce-Instanzen zuzugreifen und große Mengen an Unternehmensdaten zu exfiltrieren.

Read More

US-Einwanderungsbehörde bestellt israelischen Staatstrojaner zur Kontrolle von Einreisenden

Die US-Einwanderungsbehörde ICE plant offenbar den Einsatz des Staatstrojaners Graphite der israelischen Firma Paragon Solutions. Ein aktualisierter Vertrag sieht eine komplette Lösung mit Lizenzen, Hardware, Wartung und Schulung vor. Mit Graphite lassen sich Smartphones umfassend überwachen – auch verschlüsselte Messenger wie WhatsApp. Damit könnten künftig Reisende bei der Einreise noch stärker ins Visier geraten.

Read More

Datenleck beim Telekommunikationsanbieter Drei Österreich

Das Mobilfunkunternehmen Drei Österreich informiert Kund:innen über ein Datenleck: Durch eine fehlerhafte Servereinstellung waren zwischen dem 21. und 31. Juli 2025 gespeicherte Daten von außen zugänglich. Laut Schreiben wurden dabei in fünf Fällen Kundendaten wie Kundennummer und Rufnummer abgerufen.

Read More