CVE-2025-61932 エクスプロイト: 実際の攻撃で利用された新たなクリティカルなMotex LANSCOPE Endpoint Managerの脆弱性

分析

CVE-2025-61932は、オンプレミスのMotex LANSCOPE Endpoint Managerにおける重大なリモートコード実行の脆弱性（CVSS v4 9.3）で、クライアントプログラムと検出エージェントのコンポーネントに影響を与えます。この欠陥は、通信チャネルのソースを不十分に検証することに起因し、攻撃者が細工されたネットワークパケットを脆弱なサーバに送信することで、基盤となるシステム上で任意のコードを実行できるようになります。実務上、CVE-2025-61932は、管理されたエンドポイント全体にわたる大規模な侵害の初期アクセスベクトルにエンドポイント管理プラットフォームを変える可能性があります。これは理論上のリスクではありません：CISAは確認された実際の攻撃の後、CVE-2025-61932を既知の悪用された脆弱性（KEV）カタログに追加しました。一方、日本のJVNとJPCERT/CCは、顧客環境を標的とする悪意のあるパケットを報告し、この脆弱性を介した未特定のバックドアの配備がある可能性が高いとしています。

調査

CVE-2025-61932を調査するセキュリティチームは、まず全てのMotex LANSCOPE Endpoint Managerの展開を特定する必要があります。対象には管理されていない、またはシャドウITのインスタンスも含まれます。この脆弱性はバージョン9.4.7.1以前に影響を与え、9.3.2.7、9.3.3.9、および9.4.0.5から9.4.7.3で修正されているため、正確なバージョンマッピングがエクスポージャーを理解するために重要です。次に、JPCERT/CCの2025年4月以降のウィンドウや見知らぬIP範囲からのパケットを含む、LANSCOPE管理ポートに届く異常または無許可のパケットに注目してください。サーバー側では、エンドポイントマネージャーサービスによって起動された予期しないプロセス、異常なリソース使用、新しいリスニングポートがバックドアを示すかもしれません。LANSCOPEインストールパスと典型的な持続場所における新たに作成されたバイナリ、スクリプト、または構成ファイルを探してください。カバー範囲を広げるために、SOC PrimeのThreat Detection MarketplaceとUncoder AIを使用して、公開されたIOCとトラフィックパターンをSIEM、EDR、およびデータレイククエリに変換してください。

軽減策

CVE-2025-61932はすでに積極的に悪用されているため、パッチ適用は不可欠です。MotexはLANSCOPE Endpoint Managerの修正済みバージョンをリリースし、CISAは連邦政府の行政機関に2025年11月12日までに修正するよう促しました。これは脆弱なビルドを稼働させている組織にとっての実用的な基準です。最初のステップとして、影響を受けたすべてのオンプレのLANSCOPEインスタンスを、変更管理プロセスによって承認された最新の修正リリースにアップグレードしてください。同時に、セグメンテーション、VPN、およびファイアウォールルールを介してLANSCOPE管理インターフェースへのアクセスを制限し、インターネットに直接管理ポートを公開しないようにして、ネットワークを強化します。ゼロトラストの原則を適用し、LANSCOPEを高価値の資産として扱い、強力な認証を強制し、管理アカウントを最小限に抑え、特権活動を注意深く監視します。最後にCVE-2025-61932を脆弱性スキャンと優先順位付けのワークフローに統合し、新たに発見された脆弱なインスタンスを迅速に特定し修正されるようにします。

対応策

環境でCVE-2025-61932が悪用された疑いがある場合：

1. システムを封鎖してください。 エンドポイントマネージャーおよび近隣のシステムのために完全なディスクイメージ、メモリースナップショット、アプリケーションログ、ネットワークトレースをキャプチャして、影響を受けたLANSCOPEサーバーを不信ネットワークから隔離し、それをフォレンジック作業のためにアクセス可能な状態に保ちます。
2. 証拠を保管します。 バックドアを探します。
3. JVN/JPCERT/CCの報告に沿って、管理サーバーおよび管理されたエンドポイント上で未知のサービス、無許可のアカウント、疑わしいスケジュールされたタスク、および不信バイナリを徹底的に調査します。 再構築と再キーを行います。
4. サーバーが安全に排除できない場合、信頼できるイメージからLANSCOPEサーバーを再構築し、すべてのパッチを適用し、サービスおよび管理アカウントを含む暴露した資格情報を更新します。 When compromise cannot be safely excluded, rebuild the LANSCOPE server from a trusted image, apply all patches, and rotate exposed credentials, including service and admin accounts.
5. 検出を強化します。 SOC Primeの検出コンテンツとUncoder AIを使用して、CVE-2025-61932のエクスプロイトパターンおよびポストエクスプロイトの振る舞いに対するルールをSIEM、EDR、およびデータレイクに展開またはチューニングします。

タイムリーなパッチ適用、集中的な調査、および頑健な検出は、CVE-2025-61932や類似のエンドポイントマネージャーの侵害の長期的リスクを大幅に低減します。