Quando GoAnywhere permette agli aggressori di andare dappertutto

2 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Quando GoAnywhere permette agli aggressori di andare dappertutto

GoAnywhere MFT è una soluzione di trasferimento gestito di file ampiamente utilizzata dalle organizzazioni per lo scambio sicuro di dati sensibili. Spesso viene scelta per centralizzare il movimento dei file, applicare gli standard di crittografia e ridurre i rischi dei trasferimenti ad hoc. Poiché è affidabile per la gestione di informazioni aziendali critiche, è diventato un obiettivo di alto valore per gli aggressori.

Alla fine di settembre 2025, è stata divulgata una nuova vulnerabilità in GoAnywhere (CVE-2025-10035) , che è stata rapidamente aggiunta al catalogo delle vulnerabilità sfruttate note del NIST. Classificata con il punteggio massimo CVSS di 10.0, questa falla consente l'esecuzione di codice remoto senza autenticazione. Gli aggressori possono compromettere un server GoAnywhere prima ancora che i difensori abbiano il tempo di applicare le patch.

Che cosa è successo con il nuovo GoAnywhere CVE?

La vulnerabilità è presente nel servlet di risposta alle licenze di GoAnywhere MFT. Sfruttando un processo di deserializzazione non sicuro e aggirando i controlli di autenticazione, gli aggressori possono inviare oggetti dannosi che portano all'esecuzione di codice a livello di sistema. In termini pratici, una singola richiesta artigianale a una console di amministrazione di GoAnywhere esposta può dare agli avversari il pieno controllo del sistema.

Non è la prima volta che GoAnywhere fa notizia. Una falla simile nel 2023 ha portato a campagne di ransomware su larga scala che hanno colpito oltre 130 organizzazioni. Ancora una volta, un prodotto progettato per consentire il trasferimento sicuro dei dati è diventato un punto di partenza per gravi violazioni.

Perché CVE-2025-10035 è un rischio critico per la sicurezza

La patch è essenziale, ma non sufficiente. Se un aggressore ha sfruttato la falla prima dell'applicazione dell'aggiornamento, potrebbe già essere presente nell'ambiente. I server GoAnywhere gestiscono informazioni altamente sensibili come dati finanziari, cartelle cliniche e proprietà intellettuale. Una volta compromessi, rappresentano un comodo punto di partenza per il furto di dati e il movimento laterale.

Gli strumenti di sicurezza tradizionali spesso non riescono a individuare questi attacchi:

  • Gli agenti Endpoint potrebbero non monitorare l'appliance GoAnywhere.
  • Le difese perimetrali vedono solo i trasferimenti di file crittografati "legittimi".
  • I log possono essere incompleti o troppo rumorosi perché gli analisti SOC possano agire rapidamente.

Questo crea un pericoloso gap di rilevamento tra la compromissione e la scoperta.

Tattiche degli attaccanti dopo lo sfruttamento dei server GoAnywhere

Una volta entrati, gli aggressori non si fermano all'exploit iniziale. Utilizzano i sistemi GoAnywhere compromessi per:

  1. Distribuire webshell o script nascosti per la persistenza.
  2. Rubare le credenziali per aumentare i privilegi.
  3. Spostarsi lateralmente verso altri sistemi interni.
  4. Esfiltrare grandi volumi di file sensibili con il pretesto di una normale attività di trasferimento.

Ciascuna di queste azioni si integra nelle operazioni quotidiane, rendendo difficile per i team che si affidano solo alla prevenzione o ai registri statici individuarle.

Colmare il divario con Vectra AI

La Vectra AI Platform si concentra sul rilevamento e sulla risposta al comportamento degli aggressori, non solo agli exploit noti. È qui che diventa fondamentale dopo vulnerabilità come CVE-2025-10035:

  • Il rilevamento delle minacce di rete identifica canali di comando e controllo insoliti o tentativi di esfiltrazione di dati su larga scala dai server GoAnywhere.
  • L'Identity Threat Detection scopre attività di account sospette, come l'escalation dei privilegi o l'uso anomalo di account di servizio collegati ai sistemi MFT.
  • La visibilitàCloud e del SaaS garantisce che se gli aggressori passano dalle applicazioni on-premise a quelle cloud dopo la violazione iniziale, il loro movimento non passi inosservato.

Grazie al rilevamento guidato dall'intelligenza artificiale su rete, identità e cloud, Vectra AI chiude il punto cieco che exploit come questo rivelano. Le patch rimangono importanti, ma senza il rilevamento basato sul comportamento, le organizzazioni rimangono esposte se gli avversari hanno preso piede prima che le difese fossero state attivate.

Se volete capire come la Vectra AI Platform rafforza la vostra posizione di sicurezza oltre la prevenzione, esplorate oggi stesso una demo autoguidata della piattaforma.

DOMANDE FREQUENTI