Exploitation de CVE-2025-61932 : Une Nouvelle Vulnérabilité Critique de Motex LANSCOPE Endpoint Manager Utilisée dans des Attaques Réelles

Analyse

CVE-2025-61932 est une vulnérabilité critique d’exécution de code à distance (CVSS v4 9.3) dans Motex LANSCOPE Endpoint Manager sur site, affectant à la fois les composants du programme client et de l’agent de détection. La faille résulte d’une vérification insuffisante des sources du canal de communication, permettant à un attaquant pouvant envoyer des paquets réseau fabriqués à un serveur vulnérable d’exécuter du code arbitraire sur le système sous-jacent. En pratique, CVE-2025-61932 peut transformer la plateforme de gestion des points de terminaison en vecteur d’accès initial pour une compromission à grande échelle à travers les points de terminaison gérés. Ce n’est pas un risque théorique : la CISA a ajouté CVE-2025-61932 au catalogue des vulnérabilités exploitées connues (KEV) après des attaques confirmées dans la nature, tandis que les avis japonais de JVN et JPCERT/CC signalent des paquets malveillants ciblant les environnements clients et probablement le déploiement d’une porte dérobée encore non identifiée via cette vulnérabilité.

Investigation

Les équipes de sécurité enquêtant sur CVE-2025-61932 devraient d’abord identifier tous les déploiements de Motex LANSCOPE Endpoint Manager, y compris les instances non gérées ou shadow IT. La vulnérabilité affecte les versions 9.4.7.1 et antérieures et est corrigée dans les versions 9.3.2.7, 9.3.3.9 et 9.4.0.5–9.4.7.3, donc une cartographie précise des versions est essentielle pour comprendre l’exposition. Ensuite, concentrez-vous sur la télémétrie réseau pour des paquets inhabituels ou non autorisés touchant les ports de gestion LANSCOPE, en particulier dans les fenêtres post-avril 2025 de JPCERT/CC ou provenant de plages IP inconnues. Du côté serveur, recherchez les processus inattendus engendrés par le service Endpoint Manager, une utilisation anormale des ressources, ou de nouveaux ports d’écoute pouvant signaler une porte dérobée. Recherchez des binaires, scripts ou configs nouvellement créés dans les chemins d’installation LANSCOPE et les emplacements de persistance typiques. Pour élargir la couverture, utilisez le Marketplace de détection des menaces de SOC Prime et Uncoder AI pour convertir les IOCs publiés et les schémas de trafic en requêtes SIEM, EDR et Data Lake.

Atténuation

Étant donné que CVE-2025-61932 est déjà sous exploitation active, le patching est non négociable. Motex a publié des versions corrigées de LANSCOPE Endpoint Manager, et la CISA a exhorté les agences exécutives civiles fédérales à remédier avant le 12 novembre 2025 — une référence pratique pour toute organisation exécutant des versions vulnérables. Comme première étape, mettez à niveau tous les instances LANSCOPE sur site affectées vers la dernière version corrigée approuvée par votre processus de gestion des changements. Dans le même temps, sécurisez le réseau en restreignant l’accès aux interfaces de gestion LANSCOPE par segmentation, VPN et règles de pare-feu, et évitez d’exposer directement les ports de gestion à Internet. Appliquez les principes de zéro confiance : considérez LANSCOPE comme un atout de grande valeur, imposez une authentification forte, minimisez les comptes administratifs et surveillez de près l’activité privilégiée. Enfin, intégrez CVE-2025-61932 dans les flux de travail de scan et de priorisation des vulnérabilités afin que les instances vulnérables nouvellement découvertes soient rapidement identifiées et remédiées.

Réponse

Si vous soupçonnez que CVE-2025-61932 a été exploité dans votre environnement :

1. Contenez le système. Isolez le serveur LANSCOPE affecté des réseaux non fiables tout en le gardant accessible pour le travail médico-légal.
2. Préserver les preuves. Capturez des images complètes de disque, des instantanés de mémoire, des journaux d’application et des traces réseau pour le Endpoint Manager et les systèmes environnants.
3. Cherchez les portes dérobées. Conformément aux rapports JVN/JPCERT/CC, inspectez en profondeur les services inconnus, les comptes non autorisés, les tâches planifiées suspectes et les binaires non fiables sur le serveur de gestion et les points de terminaison gérés.
4. Reconstruisez et changez les clés. Lorsque la compromission ne peut pas être définitivement écartée, reconstruisez le serveur LANSCOPE à partir d’une image de confiance, appliquez tous les correctifs, et changez les identifiants exposés, y compris les comptes de service et d’admin.
5. Renforcez les détections. Utilisez le contenu de détection de SOC Prime et Uncoder AI pour déployer ou ajuster les règles pour les motifs d’exploitation CVE-2025-61932 et le comportement post-exploitation à travers SIEM, EDR et Data Lake.

Le patching opportun, l’enquête ciblée et des détections robustes réduisent considérablement le risque à long terme de CVE-2025-61932 et d’exploits similaires pour les gestionnaires de points de terminaison.