Een kritieke kwetsbaarheid in Fortra GoAnywhere MFT (managed file transfer) is al voor het uitkomen van de beveiligingsupdate misbruikt bij aanvallen. Dat stelt securitybedrijf watchTowr in een analyse. GoAnywhere MFT is een oplossing waarmee organisaties bestanden kunnen uitwisselen. Fortra kwam op 18 september met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2025-10035.

Via het lek kan een aanvaller door middel van een "validly forged license response signature" commando's op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Fortra stelde dat het probleem op 11 september was ontdekt. In een update van het beveiligingsbulletin gaf Fortra het advies aan klanten om hun logbestanden op verdachte activiteiten te monitoren, waarbij ook verschillende strings werden gegeven. Verdere details, of een duidelijke vermelding van actief misbruik, ontbraken.

"We hebben betrouwbaar bewijs van actief misbruik van Fortra GoAnywhere CVE-2025-10035, teruggaand tot 10 september 2025. Dat is acht dagen voor het beveiligingsbulletin van Fortra, gepubliceerd op 18 september. Dit verklaart waarom Fortra later besloot om beperkte Indicators of Compromise te publiceren en we verzoeken organisaties om meteen na te denken over tijdlijnen en risico's", aldus de onderzoekers van watchTowr. Die voegen toe dat ze van iemand bewijs van misbruik ontvingen, dat overeenkomt met de informatie uit het beveiligingsbulletin van Fortra. Een ander kritiek beveiligingslek in GoAnywhere zorgde twee jaar geleden nog voor een explosie aan datalekken.