Exploitação CVE-2025-61932: Uma Nova Vulnerabilidade Crítica no Motex LANSCOPE Endpoint Manager Usada em Ataques Reais

Análise

CVE-2025-61932 é uma vulnerabilidade crítica de execução remota de código (CVSS v4 9.3) no Motex LANSCOPE Endpoint Manager on-premises, impactando tanto o Programa Cliente quanto os componentes do Agente de Detecção. A falha surge da verificação insuficiente das fontes dos canais de comunicação, permitindo que um atacante que possa enviar pacotes de rede forjados para um servidor vulnerável execute código arbitrário no sistema subjacente. Na prática, CVE-2025-61932 pode transformar a plataforma de gerenciamento de endpoint em um vetor de acesso inicial para comprometimento em larga escala de endpoints gerenciados. Este não é um risco teórico: CISA adicionou CVE-2025-61932 ao catálogo de Vulnerabilidades Conhecidas Exploited (KEV) após confirmar ataques em ambiente real, enquanto os conselhos japoneses do JVN e JPCERT/CC relatam pacotes maliciosos visando ambientes de clientes e provável implantação de um backdoor ainda não identificado por meio desta vulnerabilidade.

Investigação

As equipes de segurança investigando o CVE-2025-61932 devem primeiro identificar todas as implantações do Motex LANSCOPE Endpoint Manager, incluindo instâncias de TI não gerenciadas ou ocultas. A vulnerabilidade afeta as versões 9.4.7.1 e anteriores e é corrigida nas versões 9.3.2.7, 9.3.3.9 e 9.4.0.5–9.4.7.3, portanto, o mapeamento preciso de versões é crítico para entender a exposição. Em seguida, concentre-se na telemetria de rede para pacotes incomuns ou não autorizados atingindo as portas de gerenciamento da LANSCOPE, especialmente nas janelas pós-abril de 2025 da JPCERT/CC ou de faixas de IP desconhecidas. Do lado do servidor, procure por processos inesperados gerados pelo serviço Endpoint Manager, uso anormal de recursos ou novas portas de escuta que possam sinalizar um backdoor. Procure novos binários, scripts ou configurações criadas nos caminhos de instalação do LANSCOPE e locais típicos de persistência. Para ampliar a cobertura, use o Marketplace de Detecção de Ameaças da SOC Prime e o Uncoder AI para converter IOCs publicados e padrões de tráfego em consultas de SIEM, EDR e Data Lake.

Mitigação

Como o CVE-2025-61932 já está sob exploração ativa, a correção é inegociável. A Motex lançou versões corrigidas do LANSCOPE Endpoint Manager, e a CISA instou as agências do Federal Civilian Executive Branch a corrigir até 12 de novembro de 2025 — um benchmark prático para qualquer organização executando versões vulneráveis. Como primeiro passo, atualize todas as instâncias LANSCOPE on-prem afetadas para a última versão corrigida aprovada pelo seu processo de gerenciamento de mudanças. Ao mesmo tempo, fortaleça a rede restringindo o acesso às interfaces de gerenciamento da LANSCOPE por meio de segmentação, VPN e regras de firewall, e evite expor as portas de gerenciamento diretamente à internet. Aplique princípios de confiança zero: trate a LANSCOPE como um ativo de alto valor, imponha autenticação forte, minimize contas administrativas e monitore de perto a atividade privilegiada. Finalmente, integre o CVE-2025-61932 em fluxos de trabalho de escaneamento e priorização de vulnerabilidades para que instâncias vulneráveis recém-descobertas sejam rapidamente identificadas e corrigidas.

Resposta

Se você suspeitar que o CVE-2025-61932 foi explorado em seu ambiente:

1. Conter o sistema. Isole o servidor LANSCOPE afetado de redes não confiáveis, mantendo-o acessível para trabalhos forenses.
2. Preservar evidências. Capture imagens completas de disco, instantâneos de memória, logs de aplicativos e rastreamento de rede para o Endpoint Manager e sistemas próximos.
3. Procure por backdoors. De acordo com os relatos do JVN/JPCERT/CC, inspecione profundamente para serviços desconhecidos, contas não autorizadas, tarefas agendadas suspeitas e binários não confiáveis tanto no servidor de gerenciamento quanto nos endpoints gerenciados.
4. Reconstrua e reconfigure. Quando o compromisso não puder ser excluído com segurança, reconstrua o servidor LANSCOPE a partir de uma imagem confiável, aplique todos os patches e rode todas as credenciais expostas, incluindo contas de serviço e administrativas.
5. Fortaleça as detecções. Use o conteúdo de detecção da SOC Prime e o Uncoder AI para implantar ou ajustar regras para padrões de exploração do CVE-2025-61932 e comportamento pós-exploração em todo o SIEM, EDR e Data Lake.

Correção oportuna, investigação focada e detecções robustas reduzem significativamente o risco de longo prazo do CVE-2025-61932 e explorações similares de gerenciadores de endpoints.