CISA dodaje nową lukę do katalogu KEV: krytyczne RCE w Motex LANSCOPE Endpoint Manager (CVE-2025-61932) - Security Bez Tabu

CISA dodaje nową lukę do katalogu KEV: krytyczne RCE w Motex LANSCOPE Endpoint Manager (CVE-2025-61932)

Wprowadzenie do problemu / definicja luki

22 października 2025 r. CISA dodała jedną nową pozycję do katalogu Known Exploited Vulnerabilities (KEV), wskazując na potwierdzoną eksploatację w środowiskach produkcyjnych. Chodzi o CVE-2025-61932 w Motex LANSCOPE Endpoint Manager (on-premises) — podatność umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia poprzez specjalnie spreparowane pakiety. Federalne agencje w USA mają czas na remediację do 12 listopada 2025 r. (termin KEV).

W skrócie

  • Produkt: Motex LANSCOPE Endpoint Manager (on-prem) – moduły klienta MR i agenta detekcyjnego DA.
  • CVE: CVE-2025-61932.
  • Wpływ: zdalne wykonanie kodu (RCE) z sieci, bez uprawnień i interakcji użytkownika.
  • Ocena: CVSS v3.0 9.8 (Critical) / CVSS v4.0 9.3.
  • Status: potwierdzona eksploatacja; wpis w CISA KEV z datą dodania 2025-10-22 i terminem 2025-11-12.

Kontekst / historia / powiązania

CISA systematycznie aktualizuje KEV, aby egzekwować priorytetowe łatanie realnie atakowanych błędów w ramach BOD 22-01. Dodanie pojedynczej pozycji 22 października nastąpiło zaraz po większych aktualizacjach z 14 i 20 października (Apple, Microsoft, Oracle, Kentico), co podkreśla dynamiczną sytuację w październiku 2025 r.

Analiza techniczna / szczegóły luki

  • Klasa błędu: Improper Verification of Source of a Communication Channel (CWE-940) — niewłaściwe weryfikowanie źródła kanału komunikacyjnego.
  • Wektor ataku: Network, AC: Low, PR: None, UI: None — atakujący może wysłać specjalnie przygotowane pakiety do komponentów klienta/agentów.
  • Skutek: wykonanie arbitralnego kodu na hoście z zainstalowanym agentem/klientem LANSCOPE.
  • Pochodzenie informacji: opisy JVN/JPCERT oraz NVD/CVE.org doprecyzowują, że błąd dotyczy wersji on-premises i wynika z niewłaściwej weryfikacji pochodzenia żądań.

Warto dodać, że JVN odnotował potwierdzony przypadek otrzymania złośliwego pakietu u klienta dostawcy, co skorelowało się z decyzją CISA o wpisie do KEV.

Praktyczne konsekwencje / ryzyko

  • Szeroka powierzchnia ataku: endpointy z agentem DA/MR często mają łączność sieciową — podatność może zostać wykorzystana zdalnie w sieci korporacyjnej.
  • Łańcuchowanie: RCE na stacjach roboczych/serwerach z agentem może służyć do lateral movement, eskalacji uprawnień i wyłączenia kontroli EDR.
  • Ryzyko operacyjne: potencjalne przerwy w monitoringu bezpieczeństwa, utrata integralności/ poufności danych oraz możliwość wdrożenia ładunków ransomware.
  • Priorytet KEV: krótki deadline (12 listopada 2025 r.) wymusza natychmiastowy plan remediacji i weryfikacji ekspozycji.

Rekomendacje operacyjne / co zrobić teraz

  1. Inwentaryzacja: zidentyfikuj wszystkie instalacje LANSCOPE Endpoint Manager (on-prem), wersje klienta MR i agenta DA.
  2. Patch/Upgrade: zastosuj poprawki producenta dla CVE-2025-61932 zgodnie z JVN/MOTEX; jeśli niezwłoczny update jest niemożliwy, wdroż obejścia producenta i segmentację.
  3. Segmentacja i kontrola dostępu: ogranicz ruch do/od agentów (ACL, VLAN, mikrosegmentacja), rozważ izolację management serwerów LANSCOPE.
  4. Monitoring i detekcja:
    • logi sieciowe pod kątem nietypowych pakietów kierowanych do portów i usług agenta/klienta,
    • EDR/SIEM: zdarzenia spawn procesów przez komponenty LANSCOPE, anomalia w pamięci i rejestrze,
    • NIDS/NIPS: sygnatury dla charakterystycznych ciągów/protokołów (po publikacji reguł).
  5. Hardening: jeśli to możliwe, włącz mTLS / weryfikację źródła w kanałach komunikacyjnych agent–serwer, whitelistę adresów zarządzających.
  6. Plan awaryjny: gdzie aktualizacja nie jest możliwa — czasowe wyłączenie agentów w strefach o najwyższym ryzyku zgodnie z BOD 22-01 (zasada: lepiej tymczasowo ograniczyć funkcjonalność niż utracić integralność).

Różnice / porównania z innymi przypadkami

  • W odróżnieniu od niedawnego CVE-2025-33073 (Windows SMB Client), gdzie konieczna bywa interakcja protokołowa SMB z podstępnym serwerem, tutaj wystarczy osiągalność sieciowa agenta/klienta LANSCOPE. Ryzyko szybkiej automatyzacji ataków jest więc wysokie.
  • W październiku do KEV trafiały także błędy w Apple/Oracle/Kentico, jednak CVE-2025-61932 dotyczy oprogramowania zabezpieczającego/zarządzającego endpointami, co czyni je szczególnie atrakcyjnym celem do przejęcia domeny/ESM.

Podsumowanie / kluczowe wnioski

  • CVE-2025-61932 to krytyczny RCE w Motex LANSCOPE Endpoint Manager (on-prem), aktywnie wykorzystywany — wpisany do CISA KEV 22.10.2025, z terminem remediacji 12.11.2025.
  • Atak jest bezuwierzytelnieniowy i bez interakcji użytkownika, co sprzyja masowej eksploatacji.
  • Priorytet: natychmiastowy patch, segmentacja, wzmocnienie kontroli na styku agent–serwer oraz intensywny monitoring.

Źródła / bibliografia

  • CISA — alert „CISA Adds One Known Exploited Vulnerability to Catalog” (22.10.2025). (CISA)
  • CISA — KEV Catalog (metadane pozycji: data dodania i due date). (CISA)
  • NVD/NIST — karta CVE-2025-61932 (opis, CVSS). (NVD)
  • JVN/JPCERT — advisory dla LANSCOPE EPM (opis, CVSS, potwierdzenie złośliwego pakietu u klienta). (jvn.jp)
  • CVE.org — rekord CVE-2025-61932 (zgodny opis). (cve.org)