Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Ransomware Medusa Khai Thác Lỗ Hổng GoAnywhere MFT

Updated
6 min read
Ransomware Medusa Khai Thác Lỗ Hổng GoAnywhere MFT
N
Nguyễn Văn Trung
Part of seriesNewsletters

Trong thế giới kỹ thuật số ngày nay, việc chuyển giao dữ liệu an toàn là nền tảng của mọi doanh nghiệp. Nhưng điều gì xảy ra khi chính công cụ được thiết kế để bảo vệ dữ liệu lại trở thành "cửa ngõ" cho tin tặc? Đó chính là câu chuyện về lỗ hổng nghiêm trọng CVE-2025-10035 trong phần mềm GoAnywhere Managed File Transfer (MFT) của Fortra – một công cụ phổ biến dùng để chuyển file an toàn giữa các hệ thống.

Lỗ hổng này không chỉ có mức độ nghiêm trọng cao nhất (CVSS 10.0) mà còn đang bị khai thác tích cực bởi các nhóm tội phạm mạng, dẫn đến các cuộc tấn công ransomware tàn phá. Theo báo cáo từ Microsoft và các nhà nghiên cứu độc lập, nhóm Storm-1175 – đồng minh của ransomware Medusa – đã sử dụng nó như một zero-day (lỗ hổng chưa được vá) từ ngày 11 tháng 9 năm 2025. Hôm nay, chúng ta sẽ phân tích sâu, từ cơ chế tấn công đến cách bảo vệ, để giúp bạn – các quản trị viên hệ thống và lãnh đạo doanh nghiệp – hành động ngay lập tức.

Tổng quan

Hãy tưởng tượng ta đang quản lý một công ty lớn, nơi hàng ngày phải chuyển hàng terabyte dữ liệu nhạy cảm: hồ sơ tài chính, dữ liệu y tế, hợp đồng pháp lý. GoAnywhere MFT là giải pháp "siêu anh hùng" cho việc này. Đây là phần mềm chuyển file quản lý (Managed File Transfer) của Fortra, hỗ trợ:

  • Chuyển file an toàn qua web, không cần phần mềm bên thứ ba.

  • Tích hợp với các giao thức như SFTP, FTPS, và API để kết nối hệ thống nội bộ với đối tác bên ngoài.

  • Theo dõi audit đầy đủ, mã hóa dữ liệu, và kiểm soát truy cập để tuân thủ các tiêu chuẩn như GDPR, HIPAA.

Theo dữ liệu từ Shadowserver Foundation, hơn 500 instance GoAnywhere MFT đang được expose trực tiếp trên internet – một con số đáng báo động, vì chúng thường xử lý dữ liệu cao giá trị. Nhưng chính sự tiện lợi này lại làm chúng trở thành mục tiêu hấp dẫn cho tin tặc.

Lỗ Hổng CVE-2025-10035

Mô Tả Chi Tiết Và Cơ Chế Khai Thác

Lỗ hổng này là một lỗi deserialization dữ liệu không đáng tin cậy (CWE-502) trong License Servlet – thành phần xử lý xác thực giấy phép của GoAnywhere MFT. Nói đơn giản: Khi hệ thống kiểm tra giấy phép (license), nó "mở hộp" dữ liệu serialized (dữ liệu được nén và mã hóa) mà không kiểm tra kỹ. Tin tặc chỉ cần gửi một "giấy phép giả mạo" với chữ ký hợp lệ là có thể chèn mã độc, dẫn đến thực thi lệnh từ xa (RCE) mà không cần mật khẩu hay tương tác người dùng.

  • Độ phức tạp khai thác: Thấp (low-complexity), chỉ cần truy cập internet.

  • Yêu cầu: Admin Console phải expose công khai (một sai lầm phổ biến, vì MFT thường được thiết kế để kết nối bên ngoài4).

  • Tác động: Tin tặc có thể chạy lệnh tùy ý, tạo tài khoản admin backdoor, và lan rộng toàn mạng.

Theo Fortra, lỗ hổng ảnh hưởng đến phiên bản 7.8.3 trở xuống (và Sustain Release 7.6.2 trở xuống). Nó được phát hiện từ ngày 11/9/2025 qua báo cáo từ khách hàng, nhưng đã bị khai thác zero-day từ ngày 10/9 theo WatchTowr Labs.

Timeline Sự Kiện: Từ Phát Hiện Đến Khai Thác

Fortra đã công bố timeline chi tiết, giúp chúng ta thấy rõ "khoảng tối" mà tin tặc lợi dụng:

  1. 11/9/2025: Khách hàng báo cáo hoạt động đáng ngờ. Fortra bắt đầu điều tra và phát hiện lỗ hổng.

  2. 17/9/2025: Nâng cấp tất cả instance MFTaaS (dịch vụ đám mây) lên v7.8.4.

  3. 18/9/2025: Phát hành patch cho khách hàng on-premise (v7.8.4 và Sustain v7.6.3). CVE được công bố, nhưng không đề cập khai thác.

  4. 25/9/2025: WatchTowr Labs xác nhận khai thác zero-day từ 10/9, dựa trên bằng chứng đáng tin cậy.

  5. 29/9/2025: CISA thêm vào danh sách Known Exploited Vulnerabilities (KEV), yêu cầu vá trước 20/10/2025.

  6. 6/10/2025: Microsoft xác nhận Storm-1175 khai thác từ 11/9, liên kết với Medusa ransomware.

  7. 10/10/2025: Fortra thừa nhận "số lượng hạn chế" hoạt động không ủy quyền, bao gồm 3 instance MFTaaS bị cô lập.

Khoảng cách từ phát hiện đến vá công khai (7 ngày) là bài học đắt giá về tốc độ phản ứng.

Nhóm Storm-1175 Và Ransomware Medusa

Storm-1175 là nhóm tội phạm mạng có trụ sở tại Trung Quốc, chuyên khai thác lỗ hổng công khai để tiếp cận ban đầu. Họ được Microsoft theo dõi từ 2024, khi liên kết với các cuộc tấn công VMware ESXi dẫn đến ransomware Akira và Black Basta. Với CVE-2025-10035, họ sử dụng TTPs (tactics, techniques, procedures) quen thuộc:

  • Tiếp cận ban đầu: Khai thác deserialization để RCE.

  • Duy trì persistence: Triển khai RMM tools như SimpleHelp và MeshAgent qua Cloudflare tunnel.

  • Khám phá mạng: Sử dụng Netscan cho reconnaissance, lệnh PowerShell để phát hiện user/hệ thống.

  • Di chuyển ngang: mstsc.exe (Remote Desktop) để lan sang các máy khác.

  • Ăn cắp dữ liệu: Rclone để exfiltrate file (ít nhất 1 nạn nhân bị ảnh hưởng).

  • Kết thúc: Triển khai Medusa để mã hóa file.

Medusa xuất hiện từ 2021 như Ransomware-as-a-Service (RaaS), sử dụng mô hình double extortion: mã hóa dữ liệu + đe dọa leak dữ liệu. Theo CISA/FBI/MS-ISAC, họ đã tấn công hơn 300 tổ chức hạ tầng quan trọng ở Mỹ, bao gồm y tế, giáo dục, pháp lý, và sản xuất.

  • Nạn nhân nổi bật 2025: Hơn 40 vụ chỉ trong 2 tháng đầu, bao gồm Toyota Financial Services, Minneapolis Public Schools (leak báo cáo tâm lý học sinh), và các bệnh viện Mỹ.

  • Yêu cầu tiền chuộc: Từ 100.000 USD đến 15 triệu USD, đàm phán do developer kiểm soát.

  • Chiến thuật: Tuyển initial access brokers qua forum tội phạm, phishing, và khai thác lỗ hổng (như CVE-2024-1709 ScreenConnect).

Medusa tránh tấn công Nga/CIS, tập trung vào Mỹ, Anh, Canada – nơi dữ liệu giá trị cao.

Khuyến nghị

Phía FPT Threat Intelligent khuyến nghị một số biện pháp bảo vệ khỏi cuộc tấn công trên

1. Hành Động Lập Tức

  • Nâng cấp lên GoAnywhere MFT v7.8.4 hoặc Sustain Release v7.6.3.

  • Đối với MFTaaS: Fortra đã tự động vá, nhưng kiểm tra log.

2. Kiểm Tra Và Giám Sát

  • Kiểm tra log: Tìm lỗi stack trace với "SignedObject.getObject" hoặc deserialization errors trong License Servlet.

  • Sử dụng công cụ như Microsoft Defender để quét IoCs (indicators of compromise) từ Storm-1175, bao gồm hash của SimpleHelp/MeshAgent.

  • Quét perimeter với EASM (External Attack Surface Management) để phát hiện instance expose.

3. Tăng Cường Bảo Mật

  • Ẩn Admin Console: Đặt sau firewall/VPN, không expose internet (theo Hardening Guide của Fortra).

  • Zero Trust: Áp dụng nguyên tắc "không tin tưởng mặc định", giới hạn quyền truy cập.

  • Backup và Khôi Phục: Backup offline, test định kỳ để chống ransomware.

  • EDR và Monitoring: Bật Microsoft Defender EDR ở chế độ block, theo dõi PowerShell suspicious.

4. Phòng Thủ Dài Hạn

  • Đào tạo nhân viên nhận biết phishing – cửa ngõ phổ biến của Medusa.

  • Tham gia chia sẻ thông tin qua CISA hoặc MS-ISAC.

  • Cập nhật phần mềm định kỳ, ưu tiên lỗ hổng CVSS > 7.0.

Bảng checklist nhanh:

BướcHành ĐộngƯu Tiên
Vá patchTải từ Fortra PortalCao
Kiểm tra exposeSử dụng Shodan/ShadowserverCao
Giám sát logTìm "SignedObject.getObject"Trung bình
Backup testKiểm tra khôi phục từ backupThấp

Tham khảo

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a

https://www.bleepingcomputer.com/news/security/microsoft-critical-goanywhere-bug-exploited-in-ransomware-attacks/

https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/

https://nvd.nist.gov/vuln/detail/CVE-2025-10035

https://www.fortra.com/security/advisories/product-security/fi-2025-012

#threat-intelligence#ransomware

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.