GoAnywhere MFT ‘CVE-2025-10035’ 타임라인 공개 실공격 경보, 패치·탐지 포인트 총정리

요약

GoAnywhere MFT의 치명적 취약점(CVE-2025-10035, CVSS 10.0)이 9월 11일부터
실제로 악용된 정황이 제조사·MS에 의해 확인됐습니다. 7.8.4(또는 7.6.3 지속지원)
로 업데이트하고 외부 노출 차단·로그 점검을 즉시 시행하세요.

핵심 사실

1) 공격기술: 위조된 라이선스 응답 서명을 이용해 직렬화 객체 주입→명령 실행
2) 일정: 9/11 초기 악용 관측, 9/18 패치 배포, 10/10 제조사 타임라인 공개 정리
3) 위협그룹: MS는 Storm-1175로 추정, 랜섬웨어 연계 사례 보고

즉시 조치 체크리스트

1) 버전: 7.8.4 또는 7.6.3(Sustain)로 업그레이드, 불가 시 외부 노출 임시 차단
2) WAF/리버스프록시: 라이선스 응답 경로 검증·의심 파라미터 차단 룰 배포
3) 로그/IOC: ‘SignedObject.getObject’ 에러 문자열·이상 토큰·원격 명령 흔적 탐지
4) 계정/키: 관리자 비활성·토큰·SSH 키·API 키 전면 회전, 백업 분리 보관
5) IR: 인터넷 노출 인스턴스 1순위 스코핑, 30일 이상 로그 보존

운영 메모

1) KEV 참조로 우선순위화—노출형 MFT·게이트웨이는 ‘패치 전 노출차단’이 원칙
2) 클러스터·DR 이중화 환경은 일관 버전으로 롤링 패치, 설정 드리프트 금지

한줄평

“패치+노출차단+로그” 3단계가 오늘 밤의 생명선입니다.

출처

The Hacker News: Fortra의 CVE-2025-10035 타임라인·권고(10/10)
TechRadar Pro: MS의 적극 악용 경보·완화 버전 안내(10/08)
CISA KEV: 악용 취약점 우선순위 관리 카탈로그