GoAnywhere MFT es una solución de transferencia de archivos gestionada ampliamente utilizada en la que confían las organizaciones para intercambiar datos confidenciales de forma segura. A menudo se elige para centralizar el movimiento de archivos, aplicar estándares de cifrado y reducir los riesgos de las transferencias ad hoc. Debido a que se confía en ella para manejar información empresarial crítica, se ha convertido en un objetivo de alto valor para los atacantes.
A finales de septiembre de 2025, se reveló una nueva vulnerabilidad en GoAnywhere (CVE-2025-10035) que se añadió rápidamente al catálogo de vulnerabilidades explotadas conocidas del NIST. Calificada con la máxima puntuación CVSS de 10,0, esta falla permite la ejecución remota de código sin autenticación. Los atacantes pueden comprometer un servidor GoAnywhere incluso antes de que los defensores tengan tiempo de aplicar los parches.
¿Qué ha pasado con este nuevo GoAnywhere CVE?
La vulnerabilidad existe en el servlet de respuesta de licencia de GoAnywhere MFT. Al explotar un proceso de deserialización inseguro y eludir las comprobaciones de autenticación, los atacantes pueden enviar objetos maliciosos que resultan en la ejecución de código a nivel de sistema. En términos prácticos, una sola solicitud a una consola de administración de GoAnywhere expuesta puede dar a los adversarios el control total del sistema.
No es la primera vez que GoAnywhere salta a los titulares. Un fallo similar en 2023 dio lugar a campañas de ransomware a gran escala que afectaron a más de 130 organizaciones. Una vez más, un producto diseñado para permitir la transferencia segura de datos se ha convertido en el punto de lanzamiento de importantes brechas.
Por qué CVE-2025-10035 es un riesgo de seguridad crítico
Los parches son esenciales, pero no suficientes. Si un atacante explotó el fallo antes de que se aplicara la actualización, es posible que ya tenga persistencia dentro del entorno. Los servidores GoAnywhere manejan información altamente sensible, como datos financieros, registros sanitarios y propiedad intelectual. Una vez comprometidos, constituyen un terreno propicio para el robo de datos y el movimiento lateral.
Las herramientas de seguridad tradicionales no suelen detectar estos ataques:
- Es posible que los agentes de punto final no supervisen el dispositivo GoAnywhere.
- Las defensas perimetrales sólo ven las transferencias de archivos cifrados "legítimas".
- Los registros pueden estar incompletos o ser demasiado ruidosos para que los analistas del SOC actúen con rapidez.
Esto crea una peligrosa brecha de detección entre el compromiso y el descubrimiento.
Tácticas de los atacantes tras explotar los servidores de GoAnywhere
Una vez dentro, los atacantes no se detienen en el exploit inicial. Utilizan los sistemas GoAnywhere comprometidos para:
- Despliegue webshells o scripts ocultos para la persistencia.
- Robar credenciales para escalar privilegios.
- Desplazarse lateralmente a otros sistemas internos.
- Exfiltrar grandes volúmenes de archivos sensibles bajo la apariencia de una actividad de transferencia normal.
Cada una de estas acciones se mezcla en las operaciones diarias, lo que dificulta su detección por parte de los equipos que confían únicamente en la prevención o en los registros estáticos.
Cerrar la brecha con Vectra AI
La plataformaVectra AI se centra en detectar y responder al comportamiento de los atacantes, no sólo a los exploits conocidos. Aquí es donde se vuelve crítica tras vulnerabilidades como CVE-2025-10035:
- La detección de amenazas de red identifica canales de comando y control inusuales o intentos de exfiltración de datos a gran escala desde servidores GoAnywhere.
- La detección de amenazas a la identidad descubre actividades sospechosas en las cuentas, como la elevación de privilegios o el uso anómalo de cuentas de servicio vinculadas a sistemas MFT.
- La visibilidad deCloud y SaaS garantiza que, si los atacantes pasan de las aplicaciones locales a cloud nube tras la brecha inicial, su movimiento no pase desapercibido.
Con la detección basada en IA en toda la red, la identidad y la cloud, Vectra AI cierra el punto ciego que revelan exploits como este. La aplicación de parches sigue siendo importante, pero sin una detección basada en el comportamiento, las organizaciones quedan expuestas si los adversarios consiguen introducirse antes de que las defensas estén instaladas.
Si desea comprender cómo la plataforma Vectra AI refuerza su postura de seguridad más allá de la prevención, explore una demostración autoguiada de la plataforma hoy mismo.