在數位轉型的浪潮中，安全檔案傳輸協定（Managed File Transfer, MFT）工具成為企業營運的關鍵基礎設施。然而，Fortra 旗下的 GoAnywhere MFT 產品卻被揭露存在一個高度危險的漏洞，並已遭惡意攻擊者廣泛利用，對全球多個組織的資訊安全構成迫切威脅。這個漏洞的嚴重性在於它提供了未經授權的遠端命令執行能力，讓攻擊者能夠輕易突破防線，進而部署勒索軟體。

一個名為 Storm-1175 的網路犯罪組織近一個月來一直在積極利用 Medusa 勒索軟體攻擊中嚴重程度最高的 GoAnywhere MFT 漏洞。此安全漏洞編號為CVE-2025-10035，影響 Fortra 基於 Web 的安全傳輸工具 GoAnywhere MFT，其漏洞源自於 License Servlet 中存在反序列化不可信資料漏洞。攻擊者可以透過遠端攻擊利用此漏洞，進行低複雜度攻擊，且無需使用者互動。

微軟（Microsoft）的 Defender 研究團隊證實，他們追蹤到的 Medusa 勒索軟體分支 Storm-1175，自 2025 年 9 月 11 日以來，已在多個組織中利用這個當時尚未公開的零時差（Zero-day）漏洞發動攻擊。攻擊行動遵循特定的戰術、技術與步驟（TTPs）：他們利用 GoAnywhere MFT 的反序列化漏洞作為初始存取點，隨後濫用遠端監控與管理（RMM）工具如 SimpleHelp 和 MeshAgent 來維持對受害網路的持久性控制。

在取得立足點後，駭客組織會啟動 RMM 二進制程式，利用 Netscan 進行內部網路偵察，執行指令來發現使用者和系統資訊，並透過 Microsoft 遠端桌面連線客戶端（mtsc.exe）在多個受損系統間橫向移動。更令人擔憂的是，在至少一個受害者環境中，攻擊者部署了 Rclone 工具來竊取被盜文件，最終投放 Medusa 勒索軟體有效載荷，對受害者的檔案進行加密和勒索。

事實上，Fortra 早在 9 月 18 日就釋出了修補程式，但當時並未公開提及漏洞已被主動利用。直到 WatchTowr Labs 等資安研究人員收到可靠證據，確認 CVE-2025-10035 於 9 月 10 日起已被作為零時差漏洞利用，這才讓此事件的嚴重性完全浮現。

Shadowserver 基金會的安全分析師目前正在監控線上暴露的500 多個 GoAnywhere MFT 實例，但目前尚不清楚有多少已經修補。為了防禦針對其 GoAnywhere MFT 伺服器的 Medusa 勒索軟體攻擊，微軟和 Fortra 建議管理員升級到最新版本。 Fortra還要求客戶使用SignedObject.getObject 字串檢查其日誌檔案中的堆疊追蹤錯誤，以確定實例是否受到影響。

鑑於 GoAnywhere MFT 通常用於處理高度敏感的業務資料，此次漏洞利用的影響範圍極廣。美國 CISA、FBI 等機構曾發出聯合警告，指出 Medusa 勒索軟體行動已影響美國超過 300 個關鍵基礎設施組織。企業應將修補此漏洞視為當前資訊安全工作的最高優先級，並檢查日誌以排除系統是否已被入侵的風險。

資料來源：https://www.bleepingcomputer.com/news/security/microsoft-critical-goanywhere-bug-exploited-in-ransomware-attacks/