Când un instrument folosit pentru administrarea calculatoarelor și telefoanelor devine ținta hackerilor, ne afectează pe toți, în special organizațiile care îl utilizează. Știrea se referă la Motex Lanscope Endpoint Manager, o soluție larg folosită în Japonia și Asia și distribuită și prin AWS, unde a fost identificată o vulnerabilitate critică deja folosită de atacatori.
CVE-2025-61932 este o problemă gravă, cu scor 9.3, cauzată de validarea necorespunzătoare a originii cererilor primite. Practic, un atacator neautentificat poate trimite pachete special concepute și executa cod arbitrar pe sistemul afectat. Motex, divizie a Kyocera Communication Systems, a anunțat că vulnerabilitatea afectează componentele client: Endpoint Manager On-Premises client (denumit MR) și Detection Agent (DA). În practică, asta înseamnă că nu trebuie actualizat managerul central, ci aplicația instalată pe dispozitivele client. Din păcate, producătorul a confirmat că au existat deja cazuri în care mediile unor clienți au primit pachete neautorizate, indicând exploatare în regim zero-day.
Corecțiile au fost publicate în mai multe versiuni ulterioare; printre versiunile în care problema a fost remediată se numără 9.3.2.7, 9.4.0.5, 9.4.4.6, 9.4.7.3 (versiunile exacte sunt importante pentru administratorii IT care verifică ce actualizări trebuie aplicate). Vulnerabilitatea afectează versiunile Lanscope Endpoint Manager 9.4.7.2 și precedente; singura soluție disponibilă este instalarea patch-ului, nu există un workaround sau măsuri temporare recomandate de vendor.
Pe lângă anunțul Motex, autoritățile de securitate naționale s-au implicat: CISA a introdus CVE-2025-61932 în catalogul Known Exploited Vulnerabilities și a stabilit 12 noiembrie ca termen limită obligatoriu pentru aplicarea patch-ului pentru agențiile federale vizate de directiva BOD 22-01. Deși termenul este obligatoriu doar pentru anumite entități guvernamentale, catalogul reprezintă un reper și pentru companiile private, în special pentru cele care furnizează servicii critice sau gestionează date sensibile. De asemenea, Japan CERT a confirmat primirea de informații despre exploatări folosite împotriva unor organizații locale. Motex nu a oferit detalii suplimentare despre activitatea malițioasă observată, iar jurnaliștii care au contactat compania așteaptă răspunsuri adiționale.
Contextul regional este tensionat: recent au avut loc breșe semnificative în Japonia, cum ar fi atacul ransomware Qilin asupra Asahi Breweries și incidentul la retailerul Askul, care a afectat vânzările online ale lanțului Muji. Aceste cazuri arată că mediile comerciale și retail sunt ținte profitabile, iar o vulnerabilitate într-un instrument de management al endpoint-urilor poate facilita accesul la rețele mai largi.
Pentru echipele IT, recomandarea este clară: identificați versiunile Lanscope Endpoint Manager din infrastructură și aplicați actualizările indicate. Examinați jurnalele pentru pachete neobișnuite și monitorizați indicatorii de compromitere. Pentru organizațiile care folosesc această soluție în AWS, coordonarea cu furnizorul de cloud și cu echipele de securitate este esențială.
CVE-2025-61932 ilustrează importanța verificării riguroase a componentelor client din mediile enterprise. Lista versiunilor reparate, confirmarea exploatării în medii reale și includerea în catalogul CISA evidențiază gravitatea problemei și necesitatea unei reacții rapide. Ce proceduri de verificare și actualizare aveți implementate pentru a evita astfel de expuneri în infrastructura voastră?
Fii primul care comentează