ICTBroadcast (CVE-2025-2611): krytyczna komenda w ciasteczku, aktywnie wykorzystywana w atakach

Wprowadzenie do problemu / definicja luki

CVE-2025-2611 to krytyczna podatność typu command injection w ICTBroadcast (oprogramowanie autodialer/call center). Błąd polega na tym, że aplikacja niebezpiecznie przekazuje zawartość ciasteczka sesyjnego do powłoki, co pozwala napastnikowi – bez uwierzytelnienia – wykonywać zdalnie dowolne komendy systemowe (RCE). Według analizy VulnCheck ataki są już w toku i obejmują skanowanie oraz próby zestawienia powłok odwrotnych. Badacze szacują, że w sieci jest wystawionych „kilkaset” instalacji, które w ogóle nie powinny być publicznie dostępne.

W skrócie

• Produkt: ICTBroadcast (wersje ≤ 7.4 znane jako podatne).
• Identyfikator: CVE-2025-2611, CVSS v4: 9.3 (CRITICAL).
• Wektor: nagłówek HTTP Cookie – manipulacja ciasteczkiem (np. BROADCAST) prowadzi do wykonania komend.
• Status: aktywnie wykorzystywana (wykryte kampanie; dostępny moduł Metasploit).
• Ekspozycja: ~200 hostów widocznych w Internecie.
• Działania priorytetowe: odizolować wystawione instancje, zaktualizować, wdrożyć WAF/IPS, doraźne reguły detekcyjne i polisy nagłówków, przeszukać logi pod kątem IOCs.

Kontekst / historia / powiązania

Podatność została zgłoszona vendorowi w marcu 2025 r., a po przekroczeniu 120-dniowego okna ujawnienia pojawił się publiczny moduł Metasploit – co typowo znacząco przyspiesza falę eksploatacji w Internecie. 11 października 2025 r. VulnCheck dodał CVE-2025-2611 do własnego VulnCheck KEV (katalog aktywnie wykorzystywanych luk) po obserwacji realnych ataków. Część wskaźników ataku (m.in. adresy IP i wykorzystanie tunelowania localtonet) pokrywa się z kampanią opisywaną wcześniej przez Fortinet, co sugeruje re-use narzędzi/infrastruktury.

Analiza techniczna / szczegóły luki

Mechanika jest prosta i dlatego groźna:

• Aplikacja ewaluje dane z ciasteczka w kontekście powłoki. Atakujący wstawia w ciasteczko sekwencję poleceń; popularny wariant to payload zakodowany base64, który serwer dekoduje i odpala (|base64 -d|sh).
• Widoczne w telemetrii dwie fazy:
  1. sonda czasowa (np. komenda sleep) do potwierdzenia RCE,
  2. dowiezienie powłoki – m.in. przez mkfifo+nc, warianty awk, czy sprytne python+zlib w ciasteczku.
• Wystarczy pojedynczy żądany URL (np. /login.php) z odpowiednio przygotowanym nagłówkiem Cookie; uwierzytelnienie nie jest wymagane.
• NVD wskazuje na Improper Input Validation (CWE-20) i potwierdza zakres (≤ 7.4) oraz scoring CVSS v4 zgodny z VulnCheck.

Dostępne narzędzia ataku

Publiczny moduł Metasploit (linux/http/ictbroadcast_unauth_cookie) automatyzuje wysyłkę złośliwego ciasteczka i uzyskanie RCE – to podnosi ryzyko „commodity exploits” również przez mniej zaawansowanych sprawców.

Praktyczne konsekwencje / ryzyko

• Pełne przejęcie hosta: wykonywanie komend jako użytkownik usługi/webservera; eskalacja uprawnień możliwa lokalnie.
• Pivot do sieci wewnętrznej: hosty te często mają dostęp do baz danych PBX/CRM.
• Exfiltracja danych i nadużycia telekomunikacyjne: kradzież list kontaktowych, nadużycia kosztowe (robocalls), reputacyjne i prawne.
• Łańcuchowe kampanie: pokrycie IOCs z innymi operacjami sugeruje możliwość kampanii masowych i ponownego wykorzystania infrastruktury.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe ograniczenie ekspozycji

• Jeżeli ICTBroadcast jest publicznie dostępny, odłącz go od Internetu lub przepuść wyłącznie przez VPN/zerotrust z MFA.
• Dodaj tymczasowe reguły WAF/IPS blokujące nagłówki Cookie zawierające backticki, potoki (|), base64 -d, czy wzorce mkfifo, nc, awk, python -c.

2) Aktualizacja i twarda konfiguracja

• Zaktualizuj do najnowszej wersji dostawcy (wersje ≤ 7.4 są znane jako podatne według NVD). Po aktualizacji przeprowadź testy regresyjne i sprawdź noty wydania.

3) Detekcja i reagowanie (IR)

• Przeskanuj logi HTTP pod kątem podejrzanych ciasteczek (BROADCAST=..., sekwencje base64, backticki).
• Sprawdź ewentualne połączenia wychodzące do znanych IOCs (np. localtonet.com, IP 143.47.53.106, itp.).
• Zweryfikuj, czy na hoście nie ma trwałych mechanizmów (crontab, systemd timers, autoruns) ani nietypowych plików w /tmp.
• Zaimplementuj reguły IDS/IPS – VulnCheck publikuje gotowe sygnatury Snort/Suricata dla klientów.

4) Zmniejszanie ryzyka długoterminowo

• Segmentacja i zasada najmniejszych uprawnień dla serwerów telekomunikacyjnych.
• AppArmor/SELinux oraz sandboxing procesów WWW.
• Włączenie monitoringu EDR i list kontroli aplikacji dla procesów sieciowych (nc, bash, python).
• Używaj list KEV (np. VulnCheck KEV) jako wejścia do priorytetyzacji patchy i skanowań ataków w toku.

Różnice / porównania z innymi przypadkami

W odróżnieniu od wielu RCE w aplikacjach web, tu wektor to ciasteczko (pre-auth), a nie parametry URL/POST. To ułatwia ukrycie się przed prostymi filtrami. W porównaniu z głośnymi 0-dayami w urządzeniach VPN (np. Ivanti z 2025 r.), bariera wejścia jest podobnie niska, ale powierzchnia mniejsza – to jednak nie zmniejsza krytyczności dla organizacji, które wdrożyły ICTBroadcast jako usługę internetową.

Podsumowanie / kluczowe wnioski

• CVE-2025-2611 to krytyczna, pre-auth RCE; ataki już trwają i mają dwa powtarzalne etapy (sonda + powłoka).
• Publiczny Metasploit przyspiesza masową eksploatację.
• Priorytety: natychmiastowa izolacja hostów, aktualizacja, reguły WAF/IPS, przegląd logów i IOCs, wzmocnienie hostów i segmentacja.

Źródła / bibliografia

1. VulnCheck: „ICTBroadcast Command Injection Actively Exploited (CVE-2025-2611)” – szczegóły techniczne, payloady, IOCs i status KEV (14 paź 2025). (VulnCheck)
2. NVD: wpis CVE-2025-2611 – opis, zakres wersji (≤ 7.4), CVSS v4 i odniesienia. (NVD)
3. Rapid7 Metasploit Wrap-Up (08 sie 2025): dostępność modułu ictbroadcast_unauth_cookie. (Rapid7)
4. The Hacker News: podsumowanie i potwierdzenie aktywnej eksploatacji w środowisku. (The Hacker News)
5. VulnCheck KEV (strona społeczności): wykorzystanie KEV do priorytetyzacji reakcji. (VulnCheck)