CVE-2025-61932 Ausnutzung: Eine neue kritische Motex LANSCOPE Endpoint Manager Schwachstelle in realen Angriffen genutzt

Analyse

CVE-2025-61932 ist eine kritische Sicherheitslücke für Remote-Code-Ausführung (CVSS v4 9.3) im lokalen Motex LANSCOPE Endpoint Manager, die sowohl das Client-Programm als auch die Detection-Agent-Komponenten betrifft. Der Fehler entsteht durch unzureichende Verifizierung der Quellen des Kommunikationskanals, was einem Angreifer, der speziell gestaltete Netzwerkpakete an einen verwundbaren Server senden kann, ermöglicht, beliebigen Code auf dem zugrunde liegenden System auszuführen. In der Praxis kann CVE-2025-61932 die Endpoint-Management-Plattform zu einem anfänglichen Zugriffspunkt für großflächige Kompromittierungen verwalteter Endgeräte machen. Dies ist kein theoretisches Risiko: CISA hat CVE-2025-61932 in den Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen, nachdem bestätigte Angriffe in freier Wildbahn entdeckt wurden, während japanische Hinweise von JVN und JPCERT/CC von bösartigen Paketen berichten, die auf Kundenumgebungen abzielen und wahrscheinlich über diese Schwachstelle einen noch nicht identifizierten Backdoor implementieren.

Untersuchung

Sicherheitsteams, die CVE-2025-61932 untersuchen, sollten zunächst alle Motex LANSCOPE Endpoint Manager Implementierungen identifizieren, einschließlich nicht verwalteter oder Schatten-IT-Instanzen. Die Sicherheitslücke betrifft Versionen 9.4.7.1 und früher und ist in 9.3.2.7, 9.3.3.9 und 9.4.0.5–9.4.7.3 behoben, daher ist eine präzise Versionszuordnung entscheidend, um das Ausmaß der Gefährdung zu verstehen. Konzentrieren Sie sich als nächstes auf die Netzwerk-Telemetrie, um ungewöhnliche oder unautorisierte Pakete zu erkennen, die auf LANSCOPE-Verwaltungsports treffen, insbesondere im Rahmen der JPCERT/CCs nach April 2025 oder aus unbekannten IP-Bereichen. Auf der Serverseite suchen Sie nach unerwarteten Prozessen, die vom Endpoint-Manager-Dienst gestartet wurden, nach anormalem Ressourcenverbrauch oder neuen Lauscheports, die auf einen Backdoor hinweisen könnten. Suchen Sie nach neu erstellten Binärdateien, Skripten oder Konfigurationen in LANSCOPE-Installationspfaden und typischen Persistenzorten. Um die Abdeckung zu erweitern, verwenden Sie SOC Primes Threat Detection Marketplace und Uncoder AI, um veröffentlichte IOCs und Verkehrsmuster in SIEM, EDR und Data Lake-Abfragen umzuwandeln.

Minderung

Da CVE-2025-61932 bereits aktiv ausgenutzt wird, ist das Patchen unumgänglich. Motex hat aktualisierte Versionen des LANSCOPE Endpoint Managers veröffentlicht, und CISA hat die Bundeszivilbehörden aufgefordert, bis zum 12. November 2025 Abhilfe zu schaffen — ein praktischer Maßstab für jede Organisation, die anfällige Builds betreibt. Als erster Schritt aktualisieren Sie alle betroffenen lokalen LANSCOPE-Instanzen auf die neueste patcht-geprüfte Version, die von Ihrem Änderungsmanagementprozess genehmigt wurde. Gleichzeitig stärken Sie das Netzwerk, indem Sie den Zugriff auf die LANSCOPE-Verwaltungsschnittstellen über Segmentierung, VPN und Firewall-Regeln einschränken und vermeiden, Verwaltungsports direkt dem Internet auszusetzen. Anwenden von Zero-Trust-Prinzipien: Behandeln Sie LANSCOPE als asset mit hohem Wert, erzwingen Sie starke Authentifizierung, minimieren Sie administrative Konten und überwachen Sie privilegierte Aktivitäten genau. Schließlich integrieren Sie CVE-2025-61932 in Schwachstellen-Scanning- und Priorisierungs-Workflows, damit neu entdeckte anfällige Instanzen schnell identifiziert und behoben werden.

Reaktion

Wenn Sie vermuten, dass CVE-2025-61932 in Ihrer Umgebung ausgenutzt wurde:

1. Das System eindämmen. Isolieren Sie den betroffenen LANSCOPE-Server von unzuverlässigen Netzwerken, während er für forensische Arbeiten zugänglich bleibt.
2. Beweise bewahren. Erfassen Sie vollständige Abbildungen der Festplatte, Speicherabbilder, Anwendungsprotokolle und Netzwerkspuren für den Endpoint-Manager und nahegelegene Systeme.
3. Nach Backdoors suchen. In Übereinstimmung mit den Berichten von JVN/JPCERT/CC, tiefgehende Inspektionen auf unbekannte Dienste, unautorisierte Konten, verdächtige geplante Aufgaben und nicht vertrauenswürdige Binärdateien sowohl auf dem Verwaltungsserver als auch auf verwalteten Endpunkten durchzuführen.
4. Neu aufbauen und Re-Keys. Wenn eine Kompromittierung nicht sicher ausgeschlossen werden kann, stellen Sie den LANSCOPE-Server aus einem vertrauenswürdigen Abbild wieder her, setzen Sie alle Patches ein und erneuern Sie offengelegte Anmeldedaten, einschließlich Dienst- und Administratorkonten.
5. Detektionen stärken. Verwenden Sie SOC Primes Detektionsinhalte und Uncoder AI, um Regeln für CVE-2025-61932-Exploits und Verhaltensweisen nach der Ausnutzung über SIEM, EDR und Data Lake bereitzustellen oder anzupassen.

Zeitgerechtes Patchen, gezielte Untersuchung und robuste Detektionen verringern langfristig das Risiko von CVE-2025-61932 und ähnlichen Endpoint-Manager-Exploits erheblich.