Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

Quando GoAnywhere permette agli hacker di arrivare ovunque

2 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Quando GoAnywhere permette agli hacker di arrivare ovunque

GoAnywhere MFT è una soluzione di trasferimento file gestito ampiamente utilizzata dalle organizzazioni per lo scambio sicuro di dati sensibili. Viene spesso scelta per centralizzare il trasferimento dei file, applicare standard di crittografia e ridurre i rischi dei trasferimenti ad hoc. Poiché è considerata affidabile per la gestione di informazioni aziendali critiche, è diventata un obiettivo di grande valore per gli hacker.

Alla fine di settembre 2025 è stata rivelata una nuova vulnerabilità in GoAnywhere (CVE-2025-10035) , che è stata rapidamente aggiunta al catalogo delle vulnerabilità note sfruttate dal NIST. Valutata con il punteggio CVSS massimo di 10,0, questa falla consente l'esecuzione di codice remoto senza autenticazione. Gli aggressori possono compromettere un server GoAnywhere prima ancora che i difensori abbiano il tempo di applicare le patch.

Cosa è successo con questo nuovo CVE di GoAnywhere

La vulnerabilità è presente nel servlet di risposta della licenza di GoAnywhere MFT. Sfruttando un processo di deserializzazione non sicuro e aggirando i controlli di autenticazione, gli aggressori possono inviare oggetti dannosi che provocano l'esecuzione di codice a livello di sistema. In termini pratici, una singola richiesta appositamente creata inviata a una console di amministrazione GoAnywhere esposta può consentire agli avversari di ottenere il controllo completo del sistema.

Non è la prima volta che GoAnywhere finisce sui giornali. Nel 2023 un difetto simile ha portato a campagne ransomware su larga scala che hanno colpito oltre 130 organizzazioni. Ancora una volta, un prodotto progettato per consentire il trasferimento sicuro dei dati è diventato il punto di partenza per gravi violazioni.

Perché CVE-2025-10035 rappresenta un rischio critico per la sicurezza

L'applicazione delle patch è fondamentale, ma non è sufficiente. Se un hacker ha sfruttato la vulnerabilità prima dell'applicazione dell'aggiornamento, potrebbe già essere riuscito a insediarsi nell'ambiente. I server GoAnywhere gestiscono informazioni altamente sensibili come dati finanziari, cartelle cliniche e proprietà intellettuale. Una volta compromessi, costituiscono un comodo punto di appoggio per il furto di dati e il movimento laterale.

Gli strumenti di sicurezza tradizionali spesso non riescono a individuare questi attacchi:

  • Endpoint potrebbero non monitorare l'appliance GoAnywhere.
  • Le difese perimetrali vedono solo trasferimenti di file crittografati "legittimi".
  • I log possono essere incompleti o troppo rumorosi per consentire agli analisti SOC di agire rapidamente.

Questo crea un pericoloso divario tra il momento in cui avviene la compromissione e quello in cui viene scoperta.

Tattiche degli aggressori dopo aver sfruttato i server GoAnywhere

Una volta entrati, gli aggressori non si fermano all'exploit iniziale. Utilizzano i sistemi GoAnywhere compromessi per:

  1. Distribuisci webshell o script nascosti per garantire la persistenza.
  2. Rubare credenziali per ottenere privilegi.
  3. Passare lateralmente ad altri sistemi interni.
  4. Esfiltrare grandi volumi di file sensibili sotto le spoglie di normali attività di trasferimento.
  5. Lancia un ransomware come Medusa e crittografare il sistema.

Ciascuna di queste azioni si integra nelle operazioni quotidiane, rendendo difficile per i team che si affidano solo alla prevenzione o ai registri statici individuarle.

Colmare il divario con Vectra AI

Vectra AI si concentra sul rilevamento e sulla risposta al comportamento degli aggressori, non solo agli exploit noti. È qui che diventa fondamentale dopo vulnerabilità come CVE-2025-10035:

  • Il rilevamento delle minacce di rete identifica canali di comando e controllo insoliti o tentativi di esfiltrazione di dati su larga scala dai server GoAnywhere.
  • Il rilevamento delle minacce all'identità individua attività sospette sugli account, come l'escalation dei privilegi o l'uso anomalo degli account di servizio collegati ai sistemi MFT.
  • La visibilitàCloud SaaS garantisce che, se gli aggressori passano dalle cloud on-premise a cloud dopo la violazione iniziale, i loro movimenti non passino inosservati.

Grazie al rilevamento basato sull'intelligenza artificiale su rete, identità e cloud, Vectra AI il punto cieco che vulnerabilità come questa rivelano. L'applicazione delle patch rimane importante, ma senza un rilevamento basato sul comportamento, le organizzazioni rimangono esposte se gli avversari riescono a ottenere un punto d'appoggio prima che le difese siano state messe in atto.

Se desideri comprendere in che modo la Vectra AI rafforza la tua sicurezza oltre la prevenzione, prova oggi stesso una demo autoguidata della piattaforma.

Domande frequenti