Sfruttamento di CVE-2025-61932: Una Nuova Critica Vulnerabilità di Motex LANSCOPE Endpoint Manager Usata in Attacchi Reali

Analisi

CVE-2025-61932 è una vulnerabilità critica di esecuzione di codice remoto (CVSS v4 9.3) nel software on-premise Motex LANSCOPE Endpoint Manager, che interessa sia il programma client che i componenti dell’agente di rilevamento. Il difetto deriva da una verifica insufficiente delle fonti dei canali di comunicazione, consentendo a un attaccante che può inviare pacchetti di rete appositamente creati a un server vulnerabile di eseguire codice arbitrario sul sistema sottostante. In pratica, CVE-2025-61932 può trasformare la piattaforma di gestione degli endpoint in un vettore di accesso iniziale per compromissioni su larga scala su endpoint gestiti. Questo non è un rischio teorico: CISA ha aggiunto CVE-2025-61932 al catalogo delle vulnerabilità note sfruttate (KEV) dopo attacchi confermati in effetti reali, mentre gli avvisi giapponesi di JVN e JPCERT/CC riportano pacchetti dannosi mirati a ambienti di clienti e la probabile distribuzione di un backdoor ancora non identificato attraverso questa vulnerabilità.

Investigazione

I team di sicurezza che indagano su CVE-2025-61932 dovrebbero prima identificare tutte le implementazioni di Motex LANSCOPE Endpoint Manager, inclusi gli istanze di IT ombra o non gestite. La vulnerabilità riguarda le versioni 9.4.7.1 e precedenti ed è risolta nelle versioni 9.3.2.7, 9.3.3.9 e 9.4.0.5–9.4.7.3, quindi la precisione della mappatura delle versioni è fondamentale per comprendere l’esposizione. Successivamente, concentrati sulla telemetria di rete per pacchetti insoliti o non autorizzati che colpiscono le porte di gestione LANSCOPE, soprattutto nelle finestre post-aprile 2025 di JPCERT/CC o da intervalli IP sconosciuti. Sul lato server, cerca processi inaspettati avviati dal servizio Endpoint Manager, uso anomalo delle risorse o nuove porte in ascolto che potrebbero segnalare un backdoor. Cerca binari, script o configurazioni creati di recente nei percorsi di installazione LANSCOPE e nei luoghi tipici di persistenza. Per ampliare la copertura, utilizza il Threat Detection Marketplace di SOC Prime e Uncoder AI per convertire gli IOC pubblicati e i modelli di traffico in interrogazioni SIEM, EDR e Data Lake.

Mitigazione

Poiché CVE-2025-61932 è già sotto sfruttamento attivo, la patch è imprescindibile. Motex ha rilasciato versioni corrette di LANSCOPE Endpoint Manager e CISA ha esortato le agenzie del Federal Civilian Executive Branch a risolvere entro il 12 novembre 2025 — un benchmark pratico per qualsiasi organizzazione che esegua build vulnerabili. Come primo passo, aggiorna tutte le istanze on-prem LANSCOPE interessate all’ultima versione con patch approvata dal tuo processo di gestione dei cambiamenti. Allo stesso tempo, rafforza la rete limitando l’accesso alle interfacce di gestione LANSCOPE tramite segmentazione, VPN e regole del firewall, e evita di esporre le porte di gestione direttamente a Internet. Applica i principi zero-trust: tratta LANSCOPE come un asset di alto valore, applica un’autenticazione forte, minimizza gli account amministrativi e monitora attentamente l’attività privilegiata. Infine, integra CVE-2025-61932 nei flussi di lavoro di scansione e prioritizzazione delle vulnerabilità in modo che le istanze vulnerabili scoperte di recente siano rapidamente identificate e risolte.

Risposta

Se sospetti che CVE-2025-61932 sia stato sfruttato nel tuo ambiente:

1. Contieni il sistema. Isola il server LANSCOPE interessato dalle reti non attendibili mantenendolo accessibile per il lavoro forense.
2. Preserva le prove. Cattura immagini complete del disco, snapshot della memoria, registri delle applicazioni e tracce di rete per l’Endpoint Manager e i sistemi vicini.
3. Caccia i backdoor. In linea con i rapporti JVN/JPCERT/CC, ispeziona profondamente per servizi sconosciuti, account non autorizzati, attività pianificate sospette e binari non attendibili sia sul server di gestione che sugli endpoint gestiti.
4. Ricostruisci e cambia chiavi. Quando la compromissione non può essere esclusa in sicurezza, ricostruisci il server LANSCOPE da un’immagine affidabile, applica tutte le patch e ruota le credenziali esposte, inclusi gli account di servizio e amministratore.
5. Rafforza le rilevazioni. Utilizza i contenuti di rilevazione di SOC Prime e Uncoder AI per implementare o ottimizzare le regole dei modelli di sfruttamento CVE-2025-61932 e dei comportamenti post-sfruttamento su SIEM, EDR e Data Lake.

Patch tempestive, indagini mirate e rilevazioni robuste riducono significativamente il rischio a lungo termine di CVE-2025-61932 e di exploit simili dei gestori di endpoint.