Le rançongiciel Medusa a exploité une faille dans GoAnywhere, un outil de transfert de fichiers

Microsoft a publié, le 6 octobre 2025, un rapport sur l’exploitation, par le gang de rançongiciel Medusa, d’une vulnérabilité critique dans GoAnywhere, un outil de transfert de fichiers. Cette faille, référencée CVE-2025-10035, permet d’accéder à une machine et à ses comptes utilisateurs, puis d’effectuer des déplacements latéraux sur tout le réseau.

Le 18 septembre 2025, l’éditeur de GoAnywhere, Fortra, a révélé l’existence de cette vulnérabilité et a fourni des correctifs. La société a précisé avoir découvert la faille le 11 septembre, mais n’a fait aucune mention d’une exploitation active. Selon Microsoft, Medusa aurait commencé à utiliser CVE-2025-10035 pour compromettre des SI au plus tard le 11 septembre 2025.

Fin septembre 2025, la CISA, l’agence nationale de cybersécurité des États-Unis, a publié un bulletin d’alerte sur la vulnérabilité. Elle confirme que CVE-2025-10035 est activement exploitée et ordonne à toutes les agences fédérales de la corriger avant le 20 octobre. Plus tôt dans le mois, la société de cybersécurité watchTowr avait signalé aux utilisateurs de GoAnywhere que cette faille était déjà mise à profit par des cybercriminels.

« Ce qui manque encore, ce sont les réponses que seule Fortra peut fournir. Comment les auteurs de la menace ont-ils obtenu les clés privées nécessaires pour exploiter cette faille ? Pourquoi les organisations ont-elles été laissées dans l’ignorance pendant si longtemps ? », a dénoncé Benjamin Harris, PDG de watchTowr, le 7 octobre 2025.