在數位化的今日，企業仰賴各種軟體來處理關鍵業務流程，其中，託管檔案傳輸（MFT）解決方案因其在安全傳輸敏感資料方面的作用，成為許多組織不可或缺的工具。然而，這些軟體的普及性與其所處理的資料敏感性，也使其成為網路攻擊者鎖定的主要目標。近日，Fortra 的 GoAnywhere MFT 解決方案中被發現一個極其嚴重的漏洞，編號為 CVE-2025-10035，正對全球各地的企業構成迫切威脅。

如果您正在執行 Fortra 的 GoAnywhere 託管檔案傳輸解決方案，並且有一段時間沒有更新到最新可用版本，請立即更新，否則您的執行個體可能會透過 CVE-2025-10035 受到威脅。CVE-2025-10035 是 Fortra 的 GoAnywhere MFT 託管文件傳輸解決方案的 License servlet 中的一個嚴重反序列化漏洞，該解決方案被各種規模的組織廣泛使用。

Fortra 表示，該漏洞“允許具有有效偽造的許可證響應簽名的參與者反序列化任意參與者控制的對象，從而可能導致命令注入。” CVE-2025-10035 的嚴重性 CVSS 評分最高，表明該漏洞可透過網路遠端利用，無需身份驗證和用戶交互，可能導致整個系統受到危害（以及可能的橫向移動），並且利用非常簡單。不過，有一個問題：只有能夠存取易受攻擊的安裝的GoAnywhere 管理控制台的攻擊者才能利用該漏洞。

儘管攻擊需要存取管理控制台，但許多企業為了方便管理，經常將其管理介面暴露在公共網路上，這使得數以千計的 GoAnywhere 實例面臨高風險。該漏洞的技術核心在於「反序列化」問題。當軟體處理由外部輸入的序列化數據時，如果沒有進行嚴格的驗證，攻擊者便能將惡意的物件注入其中，一旦軟體將其反序列化，這些惡意的物件便會被解析並執行，進而導致遠端代碼執行（RCE）。這意味著攻擊者可以在受影響的伺服器上執行任何系統命令，從而完全控制該伺服器。

值得注意的是，這並非 Fortra GoAnywhere 首次被發現類似的漏洞。早在 2023 年，代號為 CVE-2023-0669 的反序列化漏洞就曾被惡名昭彰的 Cl0p 勒索軟體集團利用，對全球數百家企業造成了廣泛影響，導致大規模的資料外洩與業務中斷。由於 CVE-2025-10035 的技術性質與其前身驚人地相似，資安專家普遍預測，這項新漏洞將很快被惡意行為者武器化，並可能被勒索軟體集團用來發動新一輪的攻擊浪潮。這使得企業的應對時間極為緊迫。

Fortra 已經發布了修補程式，並敦促所有客戶立即採取行動。受影響的 GoAnywhere MFT 實例應盡快更新至 7.8.4 或更高版本，若是使用長期支援版本（Sustain Release），則應更新至 7.6.3 或更高版本。

除了緊急更新之外，資安專家還提出以下緩解措施：

1. 限制管理控制台的網路存取： 這是最重要的緩解步驟。確保 GoAnywhere MFT 的管理控制台不暴露於公共網路。可以透過防火牆規則、VPN 或其他網路存取控制策略，將其存取權限限制在可信任的網路或特定 IP 位址。

2. 監控可疑日誌： 定期檢查 GoAnywhere MFT 的管理稽核日誌，尋找任何可疑的活動，特別是與許可證相關的異常操作。此外，檢查日誌中是否出現包含 SignedObject.getObject 字符串的異常堆疊追蹤（exception stack traces），這可能是漏洞被利用的跡象。

3. 實施零信任原則： 假設任何網路節點都可能受到威脅，並在內部網路中實施更嚴格的存取控制和分段，以限制攻擊者在系統內部橫向移動的能力。

面對如此高風險的零日漏洞，快速應變是唯一的防禦之道。建議所有使用 Fortra GoAnywhere MFT 的組織，務必將此漏洞視為最高級別的資安事件，立即展開漏洞修補與風險評估，以保護公司的關鍵資料與業務運營。

資料來源：https://www.helpnetsecurity.com/2025/09/22/fortra-goanywhere-vulnerability-cve-2025-10035/