Automatický vytáčací systém ICTBroadcast obsahuje aktívne zneužívanú zraniteľnosť

Výskumníci z VulnCheck zverejnili informácie o aktívne zneužívanej kritickej zraniteľnosti v softvéri ICTBroadcast spoločnosti ICT Innovations, ktorý slúži na správu call centier a automatické vytáčanie hovorov. CVE-2025-2611 možno zneužiť na injekciu shellových príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• ICT Innovations ICTBroadcast vo všetkých verziách až po 7.4 (vrátane)

Opis zraniteľností:

CVE-2025-2611(CVSSv4.0 skóre 9,3)

Kritická zraniteľnosť CVE-2025-2611 spočíva v nedostatočnom overovaní vstupov a vzdialený neautentifikovaný útočník by ich mohol zneužiť na vzdialenú injekciu shellových príkazov do relačných cookies BROADCAST, ktoré sa vykonajú na serveri. To môže viesť ku schopnosti vzdialene vykonávať kód bez autentifikácie.

Na uvedenú zraniteľnosť je dostupný proof of concept kód demonštrujúci mechanizmus jej zneužitia.

Zraniteľnosť objavil bezpečnostný výskumník Valentin Lobstein v marci 2025 a je aktívne zneužívaná minimálne od 11. októbra 2025. Útoky začínajú preverovaním prítomnosti zraniteľnosti, následne dochádza k jej zneužitiu na vytvorenie reverzného shellu. Škodlivý payload využíva príkazy mkfifo, nc, awk kódované v Base64 alebo príkazy Python kódované Base64 a komprimované prostredníctvom zlib. Súvisiace indikátory kompromitácie (IOC) v máji 2025 spoločnosť Fortinet asociovala s e-mailovou kampaňou cielenou na Španielsko, Taliansko a Portugalsko, ktorá šírila malvér Ratty RAT.

Možné škody:

• Vzdialená injekcia príkazov
• Vzdialené vykonanie kódu
• Získanie plnej kontroly nad systémom

Odporúčania:

Na uvedenú zraniteľnosť v súčasnosti nie sú dostupné aktualizácie. Výskumníci do vydania záplat odporúčajú limitovať sieťový prístup k produktu len na dôveryhodné IP adresy alebo zaviesť sanitizáciu a overovanie obsahu session cookies. Taktiež odporúčame vykonať kontrolu logov sieťových a bezpečnostných prvkov na prítomnosť IOC.

Indikátory kompromitácie (IOC):

• *.localto[.]net
• 85sp9bexj.localto[.]net
• 143.47.53[.]106
• 86.104.249[.]106

Zdroje:

• https://www.vulncheck.com/blog/ictbroadcast-kev
• https://nvd.nist.gov/vuln/detail/CVE-2025-2611
• https://thehackernews.com/2025/10/hackers-target-ictbroadcast-servers-via.html
• https://www.fortinet.com/blog/threat-research/multilayered-email-attack-how-a-pdf-invoice-and-geofencing-led-to-rat-malware