CVE-2025-61932 Exploitation: A New Critical Motex LANSCOPE Endpoint Manager Vulnerability Used in Real-World Attacks

Аналіз

CVE-2025-61932 є критичною вразливістю віддаленого виконання коду (CVSS v4 9.3) у локальному мотекс-управлінні кінцевими точками LANSCOPE, що впливає на компоненти програми клієнта та агента виявлення. Проблема виникає через недостатню перевірку джерел каналів зв’язку, що дозволяє зловмиснику, який може надіслати спеціально сформовані мережеві пакети на вразливий сервер, виконати довільний код на базовій системі. На практиці CVE-2025-61932 може перетворити платформу управління кінцевими точками на початковий вектор доступу для широкомасштабного компрометації через керовані кінцеві точки. Це не теоретичний ризик: CISA додала CVE-2025-61932 до каталогу відомих використовуваних вразливостей (KEV) після підтверджених атак у дикій природі, тоді як японські консультаційні повідомлення від JVN та JPCERT/CC повідомляють про шкідливі пакети, що націлюються на середовища клієнтів та ймовірне розгортання ще невизначеного бекдора через цю вразливість.

Розслідування

Команди безпеки, що розслідують CVE-2025-61932, повинні спочатку ідентифікувати всі розгортання Motex LANSCOPE Endpoint Manager, включаючи непідконтрольні чи тіньові ІТ-екземпляри. Вразливість впливає на версії 9.4.7.1 та раніше і виправлена у 9.3.2.7, 9.3.3.9 та 9.4.0.5–9.4.7.3, тому точне зіставлення версій є критичним для розуміння рівня вразливості. Далі зосередьтеся на телеметрії мережі для виявлення незвичних або несанкціонованих пакетів, що потрапляють на порти управління LANSCOPE, особливо у вікнах JPCERT/CC після квітня 2025 року або з невідомих IP-адрес. На боці сервера шукайте несподівані процеси, запущені службою управління Endpoint Manager, ненормальне використання ресурсів або нові прослуховуючі порти, що можуть сигналізувати про бекдор. Шукайте новостворені виконувані файли, скрипти або конфігурації в шляхах встановлення LANSCOPE та типових місцях постійності. Для розширення покриття використовуйте ринок загроз SOC Prime та Uncoder AI, щоб конвертувати опубліковані IOC і паттерни трафіку у запити для SIEM, EDR та Data Lake.

Пом’якшення

Оскільки CVE-2025-61932 вже активно експлуатується, виправлення є обов’язковим. Motex випустила виправлені версії LANSCOPE Endpoint Manager, і CISA порадила федеральним цивільним виконавчим агентствам усунути вразливість до 12 листопада 2025 року – практичний орієнтир для будь-якої організації, що використовує вразливі збірки. Першим кроком є оновлення всіх уразливих локальних екземплярів LANSCOPE до останнього виправленого релізу, схваленого вашим процесом управління змінами. Одночасно посиліть мережу, обмеживши доступ до інтерфейсів управління LANSCOPE через сегментацію, VPN та правила брандмауера, уникайте прямого підключення портів управління до Інтернету. Застосуйте принципи нульової довіри: розглядайте LANSCOPE як актив високої цінності, запроваджуйте сильну автентифікацію, мінімізуйте адміністративні акаунти та уважно контролюйте привілейовану активність. Нарешті, інтегруйте CVE-2025-61932 у процеси сканування та пріоритизації вразливостей, щоб швидко виявляти та усувати нововиявлені уразливі екземпляри.

Реакція

Якщо ви підозрюєте, що CVE-2025-61932 був експлуатований у вашому середовищі:

1. Ізолюйте систему. Відокремте уразливий сервер LANSCOPE від недовірених мереж, залишаючи його доступним для судово-медичної роботи.
2. Збережіть докази. Захопіть повні образи дисків, знімки пам’яті, журнали застосунків та мережеві сліди для Endpoint Manager та сусідніх систем.
3. Полюйте на бекдори. Відповідно до звітів JVN/JPCERT/CC, ретельно перевіряйте невідомі служби, несанкціоновані акаунти, підозрілі заплановані завдання та ненадійні виконувані файли як на сервері управління, так і на керованих кінцевих точках.
4. Перебудуйте та замініть ключи. Коли компрометацію неможливо безпечно виключити, перебудуйте сервер LANSCOPE з надійного образу, застосуйте всі патчі та оберніть скомпрометовані облікові дані, включаючи облікові записи служби та адміністратора.
5. Зміцніть детекції. Використовуйте вміст детекції SOC Prime та Uncoder AI для розгортання або налаштування правил для шаблонів експлуатації CVE-2025-61932 та поведінки після експлуатації у SIEM, EDR та Data Lake.

Вчасне застосування патчів, сфокусоване розслідування та надійні детекції суттєво знижують довгостроковий ризик експлуатації CVE-2025-61932 та подібних вразливостей управителів кінцевими точками.