Quand GoAnywhere permet aux attaquants d'aller partout

2 octobre 2025
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Quand GoAnywhere permet aux attaquants d'aller partout

GoAnywhere MFT est une solution de transfert de fichiers gérés largement utilisée par les entreprises pour échanger des données sensibles en toute sécurité. Elle est souvent choisie pour centraliser les mouvements de fichiers, appliquer les normes de cryptage et réduire les risques liés aux transferts ad hoc. Parce qu'on lui fait confiance pour traiter des informations commerciales critiques, elle est devenue une cible de grande valeur pour les attaquants.

Fin septembre 2025, une nouvelle vulnérabilité dans GoAnywhere (CVE-2025-10035) a été divulguée et rapidement ajoutée au catalogue des vulnérabilités exploitées connues du NIST. Classée avec le score CVSS maximum de 10.0, cette faille permet l'exécution de code à distance sans authentification. Les attaquants peuvent compromettre un serveur GoAnywhere avant même que les défenseurs n'aient le temps d'appliquer les correctifs.

Que s'est-il passé avec ce nouveau GoAnywhere CVE ?

La vulnérabilité existe dans le servlet de réponse de licence de GoAnywhere MFT. En exploitant un processus de désérialisation non sécurisé et en contournant les contrôles d'authentification, les attaquants peuvent envoyer des objets malveillants qui entraînent l'exécution de code au niveau du système. En pratique, une seule requête élaborée vers une console d'administration GoAnywhere exposée peut donner à des adversaires le contrôle total du système.

Ce n'est pas la première fois que GoAnywhere fait les gros titres. En 2023, une faille similaire a donné lieu à des campagnes de ransomware à grande échelle qui ont touché plus de 130 organisations. Une fois de plus, un produit conçu pour permettre le transfert sécurisé de données est devenu le point de départ de violations majeures.

Pourquoi CVE-2025-10035 représente-t-il un risque de sécurité critique ?

L'application de correctifs est essentielle, mais elle n'est pas suffisante. Si un attaquant a exploité la faille avant l'application de la mise à jour, il peut déjà avoir une persistance dans l'environnement. Les serveurs GoAnywhere gèrent des informations très sensibles telles que des données financières, des dossiers médicaux et de la propriété intellectuelle. Une fois compromis, ils constituent une base de départ pratique pour le vol de données et les déplacements latéraux.

Les outils de sécurité traditionnels ne parviennent souvent pas à détecter ces attaques :

  • Les agents Endpoint peuvent ne pas surveiller l'appliance GoAnywhere.
  • Les défenses périmétriques ne voient que les transferts de fichiers cryptés "légitimes".
  • Les journaux peuvent être incomplets ou trop bruyants pour que les analystes SOC puissent agir rapidement.

Cela crée un dangereux fossé de détection entre la compromission et la découverte.

Tactiques des attaquants après l'exploitation des serveurs GoAnywhere

Une fois à l'intérieur, les attaquants ne s'arrêtent pas à l'exploitation initiale. Ils utilisent les systèmes GoAnywhere compromis pour :

  1. Déployer des webshells ou des scripts cachés pour la persistance.
  2. Voler des informations d'identification pour augmenter les privilèges.
  3. Passer latéralement à d'autres systèmes internes.
  4. Exfiltrer de grands volumes de fichiers sensibles sous l'apparence d'une activité de transfert normale.

Chacune de ces actions se fond dans les opérations quotidiennes, ce qui fait qu'il est difficile pour les équipes qui s'appuient uniquement sur la prévention ou les journaux statiques de les détecter.

Combler le fossé avec Vectra AI

La plateformeVectra AI se concentre sur la détection et la réponse au comportement des attaquants, et pas seulement aux exploits connus. C'est là qu'elle devient critique après des vulnérabilités telles que CVE-2025-10035 :

  • Network Threat Detection identifie les canaux de commande et de contrôle inhabituels ou les tentatives d'exfiltration de données à grande échelle à partir des serveurs GoAnywhere.
  • Identity Threat Detection (détection des menaces liées à l'identité ) permet de détecter les activités suspectes des comptes, telles que l'escalade des privilèges ou l'utilisation anormale des comptes de service liés aux systèmes MFT.
  • La visibilité duCloud et du SaaS garantit que si les attaquants passent des applications sur site aux applications cloud après la brèche initiale, leur mouvement ne passe pas inaperçu.

Grâce à la détection pilotée par l'IA sur le réseau, l'identité et le cloud, Vectra AI ferme l'angle mort que des exploits comme celui-ci révèlent. Les correctifs restent importants, mais sans détection basée sur le comportement, les organisations sont exposées si les adversaires ont pris pied avant que les défenses ne soient en place.

Si vous souhaitez comprendre comment la plateforme Vectra AI renforce votre posture de sécurité au-delà de la prévention, découvrez dès aujourd'hui une démonstration autoguidée de la plateforme.

Foire aux questions