29/09/25
Проблема получила идентификатор CVE-2025-10035 и представляет собой ошибку десериализации в компоненте License Servlet, позволяющую внедрять команды без прохождения аутентификации. Для эксплуатации достаточно использовать поддельный ответ лицензии с корректной подписью, пишет Securitylab.
Компания Fortra уведомила клиентов о сбое 18 сентября, однако сама узнала о нём примерно за неделю до этого и не уточнила, каким образом информация поступила, и знала ли уже о фактической эксплуатации. При этом в отчёте WatchTowr говорится о «надёжных подтверждениях» атак начиная с 10 сентября, то есть за восемь дней до публикации официального предупреждения. По этой причине исследователи призвали менять подход к оценке рисков и учитывать, что злоумышленники нередко используют ошибки задолго до появления бюллетеней.
Анализ следов взлома показал, что после эксплуатации уязвимости атакующие добивались выполнения команд на сервере без авторизации, создавали скрытую учётную запись администратора под названием admin-go, затем на её основе добавляли веб-пользователя с правами легитимного доступа. Через него загружались и запускались дополнительные компоненты. Среди обнаруженных файлов оказались «zato_be.exe» и «jwunst.exe». Последний представляет собой легитимный бинарник программы удалённого администрирования SimpleHelp, однако в данном случае он использовался для постоянного контроля над заражёнными системами.
Злоумышленники также выполняли команду «whoami/groups», результаты которой сохраняли в файл test.txt для последующей передачи. Это позволяло определить права текущего пользователя и наметить пути для перемещения внутри инфраструктуры.
На момент публикации компания Fortra не прокомментировала выводы WatchTowr. Вендор выпустил исправления в актуальной версии 7.8.4, а также в ветке поддержки 7.6.3. Специалистам настоятельно рекомендуется обновить системы, а в качестве временной меры — ограничить доступ к административной консоли из интернета. Дополнительно разработчик советует проверять журналы на наличие ошибок со строкой «SignedObject.getObject», что может указывать на попытки эксплуатации.
