Los servicios de transferencia segura de archivos (MFT) siempre han estado bajo la mira de los atacantes. Y ahora, GoAnywhere MFT, una de las plataformas más usadas para transferir datos de manera segura, enfrenta un problema crítico. Se trata de la vulnerabilidad CVE-2025-10035, que podría abrir la puerta a una inyección de comandos con consecuencias devastadoras si no se aplica el parche correspondiente.
En TecnetOne te contamos qué significa esta falla, cómo puede afectarte y qué medidas deberías tomar de inmediato para proteger tu organización.
¿Qué es la CVE-2025-10035?
Esta vulnerabilidad fue descubierta el 11 de septiembre de 2025 y se hizo pública el 18 de septiembre de 2025. Está clasificada con la máxima severidad en la escala CVSS: 10.0.
El problema radica en el componente License Servlet de GoAnywhere MFT. Por un error de deserialización, un atacante puede falsificar la firma de una licencia válida y engañar al sistema para que cargue un objeto malicioso. Ese proceso permite escalar hasta una inyección de comandos, lo que en la práctica significa que el intruso puede tomar un control amplio sobre el entorno afectado.
Lo más preocupante es que:
- Se explota de forma remota.
- No requiere interacción del usuario.
- Es de baja complejidad.
En otras palabras, no hace falta que el atacante sea un experto ni que alguien haga clic en un enlace extraño. Si el Admin Console de GoAnywhere MFT está expuesto a internet, la puerta está abierta.
.webp?width=1912&height=994&name=CVE-2025-10035%20(SOCRadar%20Vulnerability%20Intelligence).webp)
CVE-2025-10035 (Fuente: SOCRadar Vulnerability Intelligence)
¿Quién está en riesgo?
El riesgo principal lo tienen las organizaciones que tienen su Admin Console accesible desde internet. Si tu implementación de GoAnywhere está limitada a una red interna, la probabilidad de ataque baja considerablemente, pero no desaparece por completo.
Una forma de identificar si pudiste haber sido comprometido es revisar los logs de auditoría de administración y los archivos de error. En particular, deberías prestar atención a cualquier mensaje relacionado con SignedObject.getObject, ya que podría indicar que se procesó una respuesta de licencia maliciosa.
Conoce más: ¿Cómo Realizar un Escaneo de Vulnerabilidades con Wazuh?
¿Ya está siendo explotada esta vulnerabilidad?
Hasta el momento, no hay evidencia pública confirmada de explotación activa. Pero el antecedente más cercano no deja espacio para la tranquilidad.
En 2023, otra vulnerabilidad en GoAnywhere (CVE-2023-0669) fue aprovechada por el grupo de ransomware Clop, que logró infiltrarse en numerosas organizaciones y desató una ola de incidentes globales.
Dado este historial, todo apunta a que la CVE-2025-10035 será un objetivo prioritario en las próximas campañas de cibercrimen.
De hecho, la organización Shadowserver ya está monitoreando más de 450 instancias de GoAnywhere expuestas a internet. Es probable que muchas de ellas aún no estén parchadas, lo que aumenta el atractivo para los atacantes.
Recomendaciones para protegerte
Fortra, la compañía detrás de GoAnywhere, ya liberó parches que corrigen la vulnerabilidad. Si administras este sistema, tu primera acción debe ser:
- Actualizar de inmediato a la versión GoAnywhere MFT 7.8.4 o, en su defecto, al Sustain Release 7.6.3.
- Si por algún motivo no puedes actualizar aún, restringe el acceso externo al Admin Console. Esto reduce de forma drástica el riesgo de explotación.
- Monitorea constantemente los registros de logs en busca de anomalías, especialmente cualquier referencia a SignedObject.getObject.
- Revisa los reportes oficiales de Fortra para mantenerte al día con las recomendaciones y parches futuros.
En TecnetOne siempre recalcamos que postergar actualizaciones críticas es como dejar la puerta de tu oficina abierta de par en par durante la noche.
¿Por qué es tan grave esta vulnerabilidad?
El problema no es solo la posibilidad de ejecución de comandos remotos. El verdadero riesgo está en el contexto:
- GoAnywhere MFT se utiliza para mover datos sensibles y críticos entre empresas, clientes y socios.
- Una brecha aquí puede dar acceso directo a información financiera, datos de clientes o propiedad intelectual.
- Al ser una plataforma conectada a múltiples sistemas, una intrusión puede convertirse en un efecto dominó que comprometa a toda la organización.
Esto la convierte en un objetivo especialmente atractivo para grupos de ransomware y actores estatales que buscan robar datos estratégicos.
Lee más: Vulnerabilidades Cibernéticas: Un Análisis a Profundidad
Un recordatorio de lo frágil que es la superficie de ataque
Las vulnerabilidades como la CVE-2025-10035 nos recuerdan que la superficie de ataque de cualquier empresa está en constante cambio. Muchas veces, los activos expuestos o las configuraciones olvidadas se convierten en la entrada ideal para los atacantes.
Es común que:
- Se dejen instancias de administración accesibles públicamente.
- No se apliquen parches a tiempo.
- Se subestimen servicios “olvidados” pero aún activos.
Por eso, el monitoreo constante es tan importante como aplicar un parche.
Instancias de GoAnywhere MFT expuestas en internet (Fuente: Shadowserver)
¿Qué puedes hacer desde ahora?
Además de instalar los parches y aplicar las medidas de mitigación, te recomendamos reforzar tu estrategia con acciones prácticas:
- Automatiza el escaneo de vulnerabilidades: así no dependes de revisiones manuales que siempre llegan tarde.
- Implementa segmentación de red: si un sistema se ve comprometido, reduces el riesgo de propagación.
- Capacita a tu equipo de TI y seguridad: que sepan identificar patrones sospechosos y reaccionar rápido.
- Define un plan de respuesta a incidentes: si el peor escenario ocurre, tener un procedimiento claro te ayudará a contener el daño.
En TecnetOne podemos ayudarte a diseñar estas estrategias para que tu infraestructura esté preparada no solo para esta vulnerabilidad, sino para las que vendrán.
Conclusión
La vulnerabilidad CVE-2025-10035 en GoAnywhere MFT no es un aviso cualquiera. Estamos frente a un problema crítico, con un puntaje de severidad máximo, explotable de forma remota y sin necesidad de interacción del usuario.
Aunque no se han reportado ataques confirmados hasta ahora, la experiencia pasada indica que los ciberdelincuentes no tardarán en aprovechar esta falla. Por eso, la acción inmediata es clave: instala los parches, restringe accesos innecesarios y refuerza tu monitoreo.
En TecnetOne creemos que la mejor defensa es la prevención. Y en un mundo donde los atacantes no descansan, tu rapidez para reaccionar puede marcar la diferencia entre un intento frustrado y una brecha millonaria.