Wenn GoAnywhere Angreifern die Möglichkeit gibt, überall hinzugehen

Oktober 2, 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Wenn GoAnywhere Angreifern die Möglichkeit gibt, überall hinzugehen

GoAnywhere MFT ist eine weit verbreitete Managed-File-Transfer-Lösung, auf die sich Unternehmen für den sicheren Austausch sensibler Daten verlassen. Sie wird häufig gewählt, um den Dateiaustausch zu zentralisieren, Verschlüsselungsstandards durchzusetzen und die Risiken von Ad-hoc-Übertragungen zu verringern. Da man sich bei der Verarbeitung wichtiger Geschäftsdaten auf diese Lösung verlässt, ist sie zu einem wertvollen Ziel für Angreifer geworden.

Ende September 2025 wurde eine neue Sicherheitslücke in GoAnywhere (CVE-2025-10035) bekannt gegeben und schnell in den NIST-Katalog der bekannten Sicherheitslücken aufgenommen. Die mit dem maximalen CVSS-Score von 10,0 bewertete Schwachstelle ermöglicht die Remotecodeausführung ohne Authentifizierung. Angreifer können einen GoAnywhere-Server kompromittieren, bevor die Verteidiger überhaupt Zeit haben, Patches anzuwenden.

Was geschah mit diesem neuen GoAnywhere CVE

Die Sicherheitslücke besteht im Lizenzantwort-Servlet von GoAnywhere MFT. Durch Ausnutzung eines unsicheren Deserialisierungsprozesses und Umgehung von Authentifizierungsprüfungen können Angreifer bösartige Objekte senden, die zur Ausführung von Code auf Systemebene führen. In der Praxis kann eine einzige manipulierte Anfrage an eine exponierte GoAnywhere-Verwaltungskonsole Angreifern die vollständige Kontrolle über das System geben.

Es ist nicht das erste Mal, dass GoAnywhere für Schlagzeilen sorgt. Ein ähnlicher Fehler führte im Jahr 2023 zu groß angelegten ransomware , von denen über 130 Unternehmen betroffen waren. Wieder einmal wurde ein Produkt, das eine sichere Datenübertragung ermöglichen sollte, zum Ausgangspunkt für große Sicherheitsverletzungen.

Warum CVE-2025-10035 ein kritisches Sicherheitsrisiko darstellt

Patches sind wichtig, aber nicht ausreichend. Wenn ein Angreifer die Schwachstelle ausnutzt, bevor das Update eingespielt wurde, kann er sich bereits in der Umgebung festsetzen. GoAnywhere-Server verwalten hochsensible Informationen wie Finanzdaten, Gesundheitsdaten und geistiges Eigentum. Sobald sie kompromittiert sind, bieten sie einen bequemen Ausgangspunkt für Datendiebstahl und Seitwärtsbewegungen.

Herkömmliche Sicherheitstools können diese Angriffe oft nicht erkennen:

  • Endpoint dürfen die GoAnywhere-Appliance nicht überwachen.
  • Perimeter-Verteidigungssysteme sehen nur "legitime" verschlüsselte Dateiübertragungen.
  • Die Protokolle können unvollständig oder zu verrauscht sein, als dass SOC-Analysten schnell darauf reagieren könnten.

Dadurch entsteht eine gefährliche Erkennungslücke zwischen Kompromittierung und Entdeckung.

Angreifer-Taktiken nach Ausnutzung von GoAnywhere-Servern

Einmal eingedrungen, bleiben die Angreifer nicht bei der ersten Ausnutzung stehen. Sie nutzen kompromittierte GoAnywhere-Systeme, um:

  1. Bereitstellung von Webshells oder versteckten Skripten für die Persistenz.
  2. Stehlen von Anmeldeinformationen zur Ausweitung von Privilegien.
  3. Seitlich zu anderen internen Systemen übergehen.
  4. Exfiltrieren großer Mengen sensibler Dateien unter dem Deckmantel normaler Übertragungsaktivitäten.

Jede dieser Aktionen fügt sich in den täglichen Betrieb ein, so dass es für Teams, die sich nur auf Prävention oder statische Protokolle verlassen, schwierig ist, sie zu erkennen.

Mit Vectra AI die Lücke schließen

Die Vectra AI konzentriert sich auf die Erkennung und Reaktion auf das Verhalten von Angreifern, nicht nur auf bekannte Schwachstellen. Dies ist der Punkt, an dem es nach Sicherheitslücken wie CVE-2025-10035 kritisch wird:

  • Network Threat Detection identifiziert ungewöhnliche Command-and-Control-Kanäle oder groß angelegte Datenexfiltrationsversuche von GoAnywhere-Servern.
  • Identity Threat Detection deckt verdächtige Kontoaktivitäten auf, wie z. B. die Ausweitung von Privilegien oder die anormale Nutzung von Dienstkonten, die mit MFT-Systemen verbunden sind.
  • Cloud und SaaS-Sichtbarkeit stellt sicher, dass Angreifer nicht unbemerkt bleiben, wenn sie nach dem ersten Einbruch von On-Premises- zu cloud wechseln.

Mit KI-gesteuerter Erkennung in Netzwerk, Identität und cloud schließtVectra AI AI den blinden Fleck, den Exploits wie diese offenbaren. Patches sind nach wie vor wichtig, aber ohne verhaltensbasierte Erkennung sind Unternehmen ungeschützt, wenn Angreifer Fuß gefasst haben, bevor Schutzmaßnahmen getroffen wurden.

Wenn Sie wissen möchten, wie die Vectra AI Ihre Sicherheitslage über die Prävention hinaus stärkt, können Sie noch heute eine selbstgeführte Demo der Plattform ausprobieren.

Häufig gestellte Fragen