Medusa-Ransomware und die kritische Lücke (CVE-2025-10035)

Sicherheitsforscher und Hersteller warnen: Angreifer, die Microsoft als Storm-1175 verfolgt, setzen die Medusa-Ransomware gegen Fortras GoAnywhere Managed File Transfer (MFT) ein. Die Schwachstelle, bekannt als CVE-2025-10035 und mit einem CVSS-Wert von 10.0 bewertet, betrifft die License Servlet-Komponente von GoAnywhere MFT und erlaubt die Deserialisierung manipulierten Inhalts, was zu Kommandoinjektion und möglicher Remote-Code-Ausführung führen kann. GoAnywhere MFT Zero-Day-Berichte und Microsofts Analyse zeigen: Internet-exponierte Admin-Konsolen sind besonders gefährdet.

Was Forscher und Hersteller berichten

Fortra veröffentlichte am 18. September 2025 ein Sicherheitsupdate und empfiehlt, auf die gepatchten Versionen 7.8.4 bzw. Sustain-Release 7.6.3 zu aktualisieren; die Schwachstelle wurde intern am 11. September 2025 entdeckt. Microsofts Threat Intelligence dokumentiert aktive Ausnutzung und weist auf Beobachtungen seit dem 11. September hin, inklusive mehrstufiger Taktiken: Exploitation des License Servlet, Deployment von Remote-Monitoring-Tools und schließlich die Ausbringung von Medusa-Ransomware in mindestens einem kompromittierten Umfeld. Computer Weekly und weitere Fachmedien fassen diese Entwicklung zusammen und mahnen zu sofortigem Handeln.

Angriffsablauf, Indikatoren und technische Hinweise

Die beobachtete Kampagne folgt einem typischen Ablauf: zunächst Ausnutzung der Deserialisierungs-Lücke, dann Persistenz durch missbrauchte RMM-Tools (SimpleHelp, MeshAgent), Anlage von .jsp-Dateien als Web-Shells, anschließende Netzwerkerkundung (z. B. netscan), laterale Bewegung (mstsc.exe) und Datendiebstahl mit Tools wie Rclone. Microsoft nennt konkrete Indikatoren (SHA-256-Hashes für RMM-Binaries und bestimmte IP-Adressen) und empfiehlt, Admin-Audit-Logs auf Fehlermeldungen mit dem String “SignedObject.getObject” zu prüfen — ein Hinweis, dass die License-Deserialisierung fehlgeschlagen bzw. manipuliert wurde.

Was Administratoren jetzt tun sollten

Priorität eins: sofort Patches einspielen (7.8.4 oder 7.6.3) oder, falls ein Update kurzfristig nicht möglich ist, den Zugriff auf die GoAnywhere-Admin-Konsole vom öffentlichen Internet trennen. Ergänzend raten Hersteller und Microsoft zu aktivem Threat-Hunting (EDR/ XDR), Prüfung auf die in Microsoft gelisteten IoCs, Block-Mode für Endpoint-Erkennung und Beschränkung ausgehender Verbindungen (um Download/ C2-Kommunikation zu verhindern). Backups, Netzwerksegmentierung und vorbereitete Incident-Response-Pläne bleiben zentrale Elemente, um Ausbreitung und Datenverlust zu begrenzen.

Risiken, Kontext und Handlungsempfehlung

Die Kombination aus einer hochkritischen Deserialisierungslücke und der Nutzung durch eine Ransomware-Affiliate macht die Lage ernst: Managed-File-Transfer-Gateways transportieren oft sensible Geschäftsdaten, sodass erfolgreiche Exploits hohe Folgen haben können. Organisationen sollten Prioritäten setzen: (1) Patchen, (2) Netzexposition minimieren, (3) Logs und EDR-Alarme gezielt untersuchen, (4) Kommunikations- und Wiederherstellungspläne aktivieren. Falls Hinweise auf Kompromittierung bestehen, gelten forensische Prüfschritte: Abtrennen betroffener Systeme, Sammeln von Logs/IoCs und gegebenenfalls Einbindung externer Incident-Response-Spezialisten.

Die aktuelle Alarmmeldung rund um die Medusa-Ransomware und Fortra GoAnywhere MFT (CVE-2025-10035) ist ein klares Signal: Kritische Infrastruktur-Software darf nicht über längere Zeit internet-exponiert und ungepatcht laufen. Die wichtigsten Sofortmaßnahmen sind bekannt und publiziert — wer sie jetzt umsetzt, reduziert das Risiko eines erfolgreichen Angriffs deutlich. Wenn Quellen widersprüchliche Zeitangaben liefern, beruhen unsere Kernaussagen auf Fortras Advisory und der Analyse von Microsoft Threat Intelligence, ergänzt durch Berichte seriöser Fachmedien.