Fortra GoAnywhere MFT高危缝隙遭活跃利用

首页 > 安全钻研 > 安全传递 > 安全简讯

Fortra GoAnywhere MFT高危缝隙遭活跃利用

颁布功夫 2025-09-29

1. Fortra GoAnywhere MFT高危缝隙遭活跃利用

9月26日，黑客正积极利用Fortra GoAnywhere治理文件传输软件中的最高严沉性缝隙CVE-2025-10035提议攻击。该缝隙源于许可证Servlet的反序列化缺点，允许未经身份验证的攻击者通过伪造许可证响应署名远程注入号令，实现预授权远程代码执行。Fortra于9月18日正式披露该缝隙，但现实早在9月10日便已存在野表利用证据。WatchTowr Labs安全钻研人员证实，攻击者自9月10日起已利用此零日缝隙，比官方布告提前8天。缝隙利用过程中，攻击者会创建名为"admin-go"的后门治理怨厮户，并上传"zato_be.exe"和"jwunst.exe"（合法远程接见工具SimpleHelp的恶意滥用版本）蹬仔用载荷，网络用户权限信息并保留至test.txt文件，为横向移动做筹备。Fortra建议系统治理员当即升级至建复版本7.8.4或7.6.3，并采取缓解措施：解除GoAnywhere治理节造台的公共互联网露出，查抄日志中"SignedObject.getObject"谬误以确认是否受影响。

https://www.bleepingcomputer.com/news/security/maximum-severity-goanywhere-mft-flaw-exploited-as-zero-day/

2. 马里兰州交通部MDOT遭Rhysida勒索软件攻击

9月25日，美国马里兰州交通部（MDOT）遭逢与俄罗斯有关的Rhysida勒索软件团伙攻击，该组织通过暗网博客颁布被盗数据截图，蕴含护照、身份证件、布景调查、社会保险卡及犯罪布景信息，并索要30比特币（约330万美元）赎金。MDOT作为马里兰州交通主题治理机构，监管州交通治理局（MTA）、港务局、航空治理局等六大部门，其运营的华盛顿-巴尔的摩交通系统年客流量超6700万人次。凭据MDOT官方通知，攻击仅影响MTA部门系统，主题服务仍正常运行，但部门公交车实时数据中断。调查确认存在数据迷失，具体涉及员工及乘客敏感信息，可能引发身份偷窃和社会保险诓骗风险。钻研团队分析显示，被盗数据还蕴含内部财政汇报和预算文件，但因MDOT预算通明度较高，此类文件个人信息风险较低。Rhysida团伙自2023岁首起头活跃，已攻击超220个组织，被溯源至俄罗斯或独联体国度，与Vice Society勒索软件团伙存在技术关联及收益分成。目前，MDOT正结合法律机构及第三方网络安全专家调查事务，但尚未明确数据泄露全貌。

https://cybernews.com/security/hackers-claim-maryland-transportation-rhysida/

3. 德州卡车司机数据泄露：超万名司机灵感信息遭露出

9月25日，德克萨斯州AJT Compliance, LLC公司运营的驾驶员合规平台“DOT SHIELD”产生大规模数据泄露事务，露出超过一万名卡车司机的幼我文件，涉及药物测试、雇佣合同、布景调查等高度敏感信息。经Cybernews钻研团队调查，泄露本原在于该公司使用的Amazon S3存储桶被谬误配置为公共读取和列表权限，导致超过18,000张社会保险卡照片、23,000张驾照图像、责任保险卡、车辆检验了局等文件表泄。这些数据自2022年起持续上传，部门敏感文件在调查期间仍被自动上传。受影响司机重要来自德克萨斯州或受雇于该州注册的物流公司。作为美国物流沉镇，德州占有超21.2万名沉型卡车司机及7.272万名轻型卡车司机，这次泄露可能影响该州约10%的卡车司机。泄露的敏感信息若落入犯法分子手中，可能被用于开设信誉账户、盗取社保福利或执行人肉搜索等诓骗行为，对受害者造成严沉身份偷窃风险。AJT Compliance在收到匿名举报后确认存储桶配置谬误，并已通过掌管任披露建复缝隙，确保数据安全。

https://cybernews.com/security/texas-truck-drivers-data-leak/

4. SonicWall SSL VPN设备遭Akira勒索软件持续攻击

9月28日，针对SonicWall SSL VPN设备的Akira勒索软件攻击持续升级，只管账户已启用OTP多成分认证（MFA），但威胁行为者仍能成功登录。钻研人员揣摩，这可能源于攻击者窃取了OTP种子或利用了2024年9月披露的CVE-2024-40766不当接见节造缝隙。该缝隙虽在2024年8月已建复，但攻击者仍通过此前从易受攻击设备中窃取的痛处持续入侵。网络安全公司Arctic Wolf汇报指出，攻击者在启用OTP MFA的情况下仍能登录账户，登录尝试时屡次触发OTP质询后成功，暗示OTP种子可能被盗或存在其他天生有效令牌的步骤。SonicWall已将此类攻击与CVE-2024-40766关联，并督促治理员沉置所有SSL VPN痛处并升级至最新SonicOS固件。

https://www.bleepingcomputer.com/news/security/akira-ransomware-breaching-mfa-protected-sonicwall-vpn-accounts/

5. Medusa勒索软件攻击康卡斯特，834GB数据遭窃

9月29日，Medusa勒索软件组织宣称对全球媒体技术巨头康卡斯特公司提议网络攻击，并要求支付120万美元赎金以阻止窃取的834.4GB数据泄露或销售。该组织在暗网泄密网站颁布约20张内部文件截图及蕴含167,121项文件的清单，涉及精算汇报、产品治理数据、保险建模剧本、理赔分析数据及SQL剧本等敏感信息，蹊径示例蕴含Esur_rerating_verification.xlsx、Claim Data Specifications.xlsm等文件，暗示已获取保险推算、客户数据处置及索赔治理系统权限�？悼ㄋ固刈魑加蠳BCUniversal的企业，旗下涵盖NBC、Telemundo、全球影业、流媒体平台Peacock及欧洲Sky业务。只管该公司未因大规模网攻成为焦点，但2015年曾有超20万用户凭证在暗网泄露，其时康卡斯特称数据可能源于凭证聚合而非系统直接入侵。Medusa以颁布部门文件证据施压受害者闻名。这次攻击中，文件性质指向财政与精算数据集，若属实，康卡斯特或面对监管审查风险。

https://hackread.com/medusa-ransomware-comcast-data-breach/

6. Notepad++ v8.8.3被披露存在高危DLL劫持缝隙

9月29日，Notepad++ v8.8.3版本被披露存在高危DLL劫持缝隙（CVE-2025-56383），CVSS评分达6.5分。该缝隙源于Notepad++在启动时自动加载特定DLL文件的机造缺点，攻击者可利用此个性代替受信赖的DLL文件（如NppExport.dll），注入恶意代码实现肆意代码执行。技术分析显示，攻击者只需将恶意DLL文件搁置于Notepad++装置目录的plugins\NppExport\蹊径下，并确保其导出函数转发至原始DLL文件。当用户启动Notepad++时，法式会优先加载该恶意DLL，在转发合法职能挪用的同时执行恶意代码，形成“职能齐全+安全粉碎”的双沉渗入。GitHub已公开概想验证（PoC），蕴含齐全的攻击链演示，验证了缝隙在本地环境下的可利用性。该缝隙的攻击影响领域宽泛，需本地接见权限或装置蹊径写入能力，但一旦成功利用，可实现悠久化驻留与权限提升，显著增长供给链攻击、木马扮装置法式及内部威胁风险。建议用户当即升级至建复版本，并定期查抄装置目录文件齐全性。

https://securityonline.info/dll-hijacking-flaw-cve-2025-56383-found-in-notepad-allowing-arbitrary-code-execution-poc-available/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研