vulnerabilidad critica en goanywhere un nuevo dolor de cabeza para la seguridad empresarial

Vulnerabilidad crítica en GoAnywhere: un nuevo dolor de cabeza para la seguridad empresarial

PorCarlos Ribeiro

Fortra acaba de lanzar parches para solucionar una vulnerabilidad crítica en su software GoAnywhere MFT que tiene a muchos responsables de seguridad con el corazón en un puño. Y no es para menos: hablamos de un fallo de severidad máxima (CVSS 10 sobre 10) que podría permitir la inyección de comandos en sistemas empresariales críticos.

¿Qué es GoAnywhere y por qué importa esta vulnerabilidad?

Para quien no esté familiarizado, GoAnywhere MFT es una solución empresarial que permite automatizar y proteger el intercambio de archivos con socios comerciales. Es básicamente el cartero digital de confianza para miles de organizaciones que necesitan transferir datos sensibles de forma segura.

La vulnerabilidad, identificada como CVE-2025-10035, afecta específicamente al servlet de licencia de la aplicación. El problema técnico es una deserialización de datos no confiables, lo que en términos simples significa que el sistema acepta y procesa información externa sin las comprobaciones adecuadas.

El vector de ataque: más sencillo de lo que debería

Lo preocupante de este fallo es que permite a un atacante con una firma de respuesta de licencia falsificada (pero técnicamente válida) deserializar un objeto controlado arbitrariamente, lo que podría derivar en inyección de comandos.

Traducido a cristiano: un atacante podría ejecutar código malicioso en tu servidor sin necesidad de autenticarse. Sí, has leído bien, sin autenticarse. En el mundo de la ciberseguridad, esto es lo que llamamos «una pesadilla hecha realidad».

Impacto y mitigación: actúa ya

Rapid7, una de las compañías de ciberseguridad más respetadas, advierte que la explotación exitosa de esta vulnerabilidad permitiría a atacantes no autenticados lograr ejecución remota de código (RCE) en instancias vulnerables de GoAnywhere MFT.

Soluciones disponibles

Fortra ha incluido parches para este defecto de seguridad en:

  • GoAnywhere MFT versión 7.8.4
  • GoAnywhere MFT Sustain versión 7.6.3

Si estás utilizando versiones anteriores, es momento de actualizar. Y cuando digo «momento», quiero decir ahora mismo, no después del café o «ya lo haré mañana».

Medidas adicionales recomendadas

Además de aplicar los parches (que es lo prioritario), Fortra recomienda:

  1. Asegurarse de que la consola de administración de GoAnywhere no sea accesible públicamente desde Internet
  2. Monitorizar los registros de auditoría del administrador en busca de actividad sospechosa
  3. Revisar los archivos de registro buscando errores que contengan «SignedObject.getObject:» en las trazas de excepciones

Como señala Fortra, «la explotación de esta vulnerabilidad depende en gran medida de que los sistemas estén expuestos externamente a Internet». Esto podría darte un respiro si tienes bien cerrado tu perímetro, pero no te confíes.

¿Estamos ante un nuevo zero-day explotado activamente?

Por ahora, ni Fortra ni Rapid7 han mencionado que esta vulnerabilidad esté siendo explotada en el mundo real, y tampoco se ha visto código de exploit público. Esto es una buena noticia.

Pero seamos realistas: dado el historial de este producto y la naturaleza de la vulnerabilidad, no podemos bajar la guardia. Como bien dice Rapid7, «esta nueva vulnerabilidad debe tratarse como una amenaza significativa».

El precedente que nos mantiene alerta

No sería la primera vez que GoAnywhere está en el centro de un incidente grave. En 2023, hackers vinculados al grupo de ransomware Cl0p explotaron una vulnerabilidad zero-day (CVE-2023-0669) en este mismo producto. El resultado fue devastador: crearon cuentas no autorizadas en entornos de clientes y robaron datos de decenas de organizaciones.

Con ese precedente aún fresco en la memoria, no es de extrañar que la comunidad de seguridad esté tomando esta nueva amenaza muy en serio.

Lecciones que nunca aprendemos

Si hay algo que me fascina (y a la vez me frustra) de la ciberseguridad es cómo seguimos viendo los mismos patrones una y otra vez. Vulnerabilidades de deserialización, inyección de comandos… son problemas que conocemos desde hace décadas, pero siguen apareciendo incluso en productos de seguridad.

Es como si la industria tuviera amnesia colectiva o, peor aún, como si la presión por sacar nuevas funciones al mercado siguiera ganando a la seguridad en la lista de prioridades.

Lo que está claro es que no podemos esperar a que ocurra un incidente para actuar. Así que si utilizas GoAnywhere MFT en tu organización, ya sabes lo que toca: aplicar ese parche antes de que alguien decida probar suerte con tu sistema.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *