Explotación de CVE-2025-61932: Una nueva vulnerabilidad crítica en Motex LANSCOPE Endpoint Manager utilizada en ataques del mundo real

Análisis

CVE-2025-61932 es una vulnerabilidad crítica de ejecución remota de código (CVSS v4 9.3) en Motex LANSCOPE Endpoint Manager local, que afecta a los componentes del Programa Cliente y Agente de Detección. La falla surge de una verificación insuficiente de las fuentes del canal de comunicación, lo que permite a un atacante que pueda enviar paquetes de red diseñados a un servidor vulnerable ejecutar código arbitrario en el sistema subyacente. En la práctica, CVE-2025-61932 puede convertir la plataforma de gestión de endpoints en un vector de acceso inicial para comprometer a gran escala sistemas gestionados. Este no es un riesgo teórico: CISA ha agregado CVE-2025-61932 al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) tras ataques confirmados en libertad, mientras que los avisos japoneses de JVN y JPCERT/CC informan sobre paquetes maliciosos dirigidos a entornos de clientes y probable despliegue de una puerta trasera no identificada aún a través de esta vulnerabilidad.

Investigación

Los equipos de seguridad que investigan CVE-2025-61932 deben primero identificar todas las implementaciones de Motex LANSCOPE Endpoint Manager, incluidas las de IT no administradas o en la sombra. La vulnerabilidad afecta a las versiones 9.4.7.1 y anteriores y se corrige en 9.3.2.7, 9.3.3.9 y 9.4.0.5–9.4.7.3, por lo que el mapeo preciso de versiones es crítico para entender la exposición. Luego, enfóquese en la telemetría de red para detectar paquetes inusuales o no autorizados que impacten en los puertos de gestión de LANSCOPE, especialmente en las ventanas post-abril de 2025 de JPCERT/CC o de rangos de IP no familiares. Del lado del servidor, busque procesos inesperados generados por el servicio de Endpoint Manager, uso anormal de recursos o nuevos puertos de escucha que puedan indicar una puerta trasera. Busque binarios, scripts o configuraciones recién creados en las rutas de instalación de LANSCOPE y ubicaciones típicas de persistencia. Para ampliar la cobertura, use el Mercado de Detección de Amenazas de SOC Prime y Uncoder AI para convertir IOCs publicados y patrones de tráfico en consultas de SIEM, EDR y Data Lake.

Mitigación

Debido a que CVE-2025-61932 ya está bajo explotación activa, parchear no es negociable. Motex ha lanzado versiones corregidas de LANSCOPE Endpoint Manager, y CISA ha instado a las agencias del Ramo Ejecutivo Civil Federal a remediar antes del 12 de noviembre de 2025, un punto de referencia práctico para cualquier organización que use versiones vulnerables. Como primer paso, actualice todas las instancias de LANSCOPE afectadas en las instalaciones a la última versión parchada aprobada por su proceso de gestión de cambios. Al mismo tiempo, fortalezca la red restringiendo el acceso a las interfaces de gestión de LANSCOPE mediante segmentación, VPN y reglas de firewall, y evite exponer los puertos de gestión directamente a Internet. Aplique principios de confianza cero: trate a LANSCOPE como un activo de alto valor, haga cumplir una autenticación sólida, minimice las cuentas administrativas y monitoree de cerca la actividad privilegiada. Finalmente, integre CVE-2025-61932 en los flujos de trabajo de escaneo y priorización de vulnerabilidades para que las instancias vulnerables recién descubiertas se identifiquen y remedien rápidamente.

Respuesta

Si sospecha que CVE-2025-61932 ha sido explotado en su entorno:

1. Contenga el sistema. Aísle el servidor LANSCOPE afectado de redes no confiables mientras lo mantiene accesible para el trabajo forense.
2. Preserve evidencia. Capture imágenes completas de disco, instantáneas de memoria, registros de aplicaciones y trazas de red para el Endpoint Manager y sistemas cercanos.
3. Busque puertas traseras. En línea con el informe de JVN/JPCERT/CC, inspeccione profundamente en busca de servicios desconocidos, cuentas no autorizadas, tareas programadas sospechosas y binarios no confiables tanto en el servidor de gestión como en los endpoints gestionados.
4. Reconstruya y vuelva a establecer claves. Cuando no se pueda excluir de forma segura un compromiso, reconstruya el servidor LANSCOPE desde una imagen confiable, aplique todos los parches y rote las credenciales expuestas, incluidas cuentas de servicio y administración.
5. Fortalezca las detecciones. Use el contenido de detección de SOC Prime y Uncoder AI para implementar o ajustar reglas para los patrones de explotación de CVE-2025-61932 y el comportamiento post-explotación en SIEM, EDR y Data Lake.

Parcheo oportuno, investigación enfocada y detecciones robustas reducen significativamente el riesgo a largo plazo de CVE-2025-61932 y explotaciones similares de gestores de endpoints.