أطلق باحثون في الأمن السيبراني تحذيرات بشأن ثغرة بالغة الخطورة في خدمة GoAnywhere MFT لنقل الملفات، وسط مخاوف من تكرار سيناريو الهجمات الواسعة التي استهدفت الخدمة نفسها قبل عامين.
أعلنت شركة Fortra المطوّرة للمنتج عن الثغرة المسجلة بالرمز CVE-2025-10035، وأصدرت تحديثاً أمنياً لمعالجتها. وأوضحت في بيانها أن الثغرة من نوع deserialization، وتتيح للمهاجم الذي يمتلك توقيع ترخيص مزيف تنفيذ أوامر غير مصرّح بها على النظام.
يشير الخبراء إلى أن خدمات نقل الملفات تمثل أهدافاً ثمينة للمهاجمين، وخاصة لجماعات الفدية، نظراً لتخزينها بيانات حساسة ضخمة، ما يتيح الوصول إلى بيانات آلاف المستخدمين دفعة واحدة.
تشابه لافت مع هجمات سابقة واسعة النطاق
ورغم أن Fortra لم تكشف عن أي دلائل على استغلال الثغرة حتى الآن، أكد خبراء من شركات أمنية مختلفة أن الأمر مسألة وقت فقط. وقال ريان ديوهيرست، رئيس قسم استخبارات التهديدات الاستباقية في watchTowr، إنهم يتابعون التطورات عن كثب.
أوضحت الباحثة كيتلين كوندون من شركة VulnCheck أن تفاصيل الثغرة الحالية تكاد تتطابق مع ثغرة CVE-2023-0669 التي استغلها في السابق جماعة Clop وعدة مجموعات فدية أخرى لاستهداف أكثر من مائة مؤسسة.
جماعة Clop التي اشتهرت بتركيزها على ثغرات خدمات نقل الملفات كانت وراء عملية اختراق واسعة في 2023 استهدفت بيئة MOVEit وكشفت بيانات أكثر من 2300 مؤسسة في أكبر هجوم سيبراني في ذلك العام.
خبراء: خدمات نقل الملفات هدف ثمين ومتكرر
أشار الباحث ستيفن فيور من Rapid7 إلى أن خدمات نقل الملفات عادة ما تكون مكشوفة على الإنترنت وتستخدم بيانات اعتماد للشبكات، ما يجعلها أهدافاً مغرية للمهاجمين. وأضاف أن الثغرة الجديدة لا تتطلب توثيق دخول، وأن هذا النوع من الثغرات أكثر استقراراً من ثغرات فساد الذاكرة.
ورغم عدم توفر كود استغلال علني، يرى الباحثون أنه قد يكون متداولاً في دوائر خاصة، ما يزيد من خطورة الوضع. وحذرت كيتلين كوندون من أن تحديث الأنظمة لا يكفي وحده في حال كان المهاجمون قد استغلوا الثغرة بالفعل قبل الإعلان عنها.
أفادت شركة Fortra أنها اكتشفت الخلل في 11 سبتمبر الماضي خلال مراجعة أمنية، موضحةً أن الخطر يتركز على العملاء الذين تتاح وحدات الإدارة لديهم للوصول عبر الإنترنت. وأضافت أنها بادرت على الفور بتطوير تحديث أمني وقدمت إرشادات لتخفيف المخاطر
يستخدم خدمة GoAnywhere MFT أكثر من 3000 مؤسسة بينها شركات من قائمة Fortune 500. وسبق أن ظهرت الشركة ثلاث مرات في قائمة الثغرات المستغلة لدى وكالة الأمن السيبراني والبنية التحتية الأميركية خلال فترة قصيرة في 2023.
