GoAnywhere MFT 취약성 CVE-2025-10035: CVSS 10.0의 미스터리
2025-09-25
watchTowr Labs는 완벽한 CVSS 점수 10.0를 기록한 Fortra의 GoAnywhere MFT의 심각한 취약성 CVE-2025-10035를 분석했습니다. 이 역직렬화 취약성을 통해 위조된 라이선스 응답 서명을 가진 공격자는 임의의 개체를 역직렬화하여 명령어 삽입을 일으킬 수 있습니다. 악용에는 인터넷 노출이 필요하지만, watchTowr Labs는 인증을 우회하여 라이선스 요청 토큰을 얻는 인증이 필요 없는 방법을 발견했습니다. 그러나 서명 확인이라는 장벽이 남아 있습니다. 이 분석에서는 취약성 악용 프로세스를 자세히 설명하고, 발견되지 않은 서명 우회 방법이나 유출된 개인 키에 대한 의문을 제기합니다. 취약한 인스턴스를 식별하기 위한 탐지 도구가 제공됩니다.
기술
취약성 분석