Wprowadzenie do problemu / definicja luki
CVE-2025-2611 to krytyczna podatność typu command injection w ICTBroadcast (oprogramowanie autodialer/call center). Błąd polega na tym, że aplikacja niebezpiecznie przekazuje zawartość ciasteczka sesyjnego do powłoki, co pozwala napastnikowi – bez uwierzytelnienia – wykonywać zdalnie dowolne komendy systemowe (RCE). Według analizy VulnCheck ataki są już w toku i obejmują skanowanie oraz próby zestawienia powłok odwrotnych. Badacze szacują, że w sieci jest wystawionych „kilkaset” instalacji, które w ogóle nie powinny być publicznie dostępne.
W skrócie
- Produkt: ICTBroadcast (wersje ≤ 7.4 znane jako podatne).
- Identyfikator: CVE-2025-2611, CVSS v4: 9.3 (CRITICAL).
- Wektor: nagłówek HTTP
Cookie– manipulacja ciasteczkiem (np.BROADCAST) prowadzi do wykonania komend. - Status: aktywnie wykorzystywana (wykryte kampanie; dostępny moduł Metasploit).
- Ekspozycja: ~200 hostów widocznych w Internecie.
- Działania priorytetowe: odizolować wystawione instancje, zaktualizować, wdrożyć WAF/IPS, doraźne reguły detekcyjne i polisy nagłówków, przeszukać logi pod kątem IOCs.
Kontekst / historia / powiązania
Podatność została zgłoszona vendorowi w marcu 2025 r., a po przekroczeniu 120-dniowego okna ujawnienia pojawił się publiczny moduł Metasploit – co typowo znacząco przyspiesza falę eksploatacji w Internecie. 11 października 2025 r. VulnCheck dodał CVE-2025-2611 do własnego VulnCheck KEV (katalog aktywnie wykorzystywanych luk) po obserwacji realnych ataków. Część wskaźników ataku (m.in. adresy IP i wykorzystanie tunelowania localtonet) pokrywa się z kampanią opisywaną wcześniej przez Fortinet, co sugeruje re-use narzędzi/infrastruktury.
Analiza techniczna / szczegóły luki
Mechanika jest prosta i dlatego groźna:
- Aplikacja ewaluje dane z ciasteczka w kontekście powłoki. Atakujący wstawia w ciasteczko sekwencję poleceń; popularny wariant to payload zakodowany base64, który serwer dekoduje i odpala (
|base64 -d|sh). - Widoczne w telemetrii dwie fazy:
- sonda czasowa (np. komenda
sleep) do potwierdzenia RCE, - dowiezienie powłoki – m.in. przez
mkfifo+nc, wariantyawk, czy sprytne python+zlib w ciasteczku.
- sonda czasowa (np. komenda
- Wystarczy pojedynczy żądany URL (np.
/login.php) z odpowiednio przygotowanym nagłówkiemCookie; uwierzytelnienie nie jest wymagane. - NVD wskazuje na Improper Input Validation (CWE-20) i potwierdza zakres (≤ 7.4) oraz scoring CVSS v4 zgodny z VulnCheck.
Dostępne narzędzia ataku
Publiczny moduł Metasploit (linux/http/ictbroadcast_unauth_cookie) automatyzuje wysyłkę złośliwego ciasteczka i uzyskanie RCE – to podnosi ryzyko „commodity exploits” również przez mniej zaawansowanych sprawców.
Praktyczne konsekwencje / ryzyko
- Pełne przejęcie hosta: wykonywanie komend jako użytkownik usługi/webservera; eskalacja uprawnień możliwa lokalnie.
- Pivot do sieci wewnętrznej: hosty te często mają dostęp do baz danych PBX/CRM.
- Exfiltracja danych i nadużycia telekomunikacyjne: kradzież list kontaktowych, nadużycia kosztowe (robocalls), reputacyjne i prawne.
- Łańcuchowe kampanie: pokrycie IOCs z innymi operacjami sugeruje możliwość kampanii masowych i ponownego wykorzystania infrastruktury.
Rekomendacje operacyjne / co zrobić teraz
1) Natychmiastowe ograniczenie ekspozycji
- Jeżeli ICTBroadcast jest publicznie dostępny, odłącz go od Internetu lub przepuść wyłącznie przez VPN/zerotrust z MFA.
- Dodaj tymczasowe reguły WAF/IPS blokujące nagłówki
Cookiezawierające backticki, potoki (|),base64 -d, czy wzorcemkfifo,nc,awk,python -c.
2) Aktualizacja i twarda konfiguracja
- Zaktualizuj do najnowszej wersji dostawcy (wersje ≤ 7.4 są znane jako podatne według NVD). Po aktualizacji przeprowadź testy regresyjne i sprawdź noty wydania.
3) Detekcja i reagowanie (IR)
- Przeskanuj logi HTTP pod kątem podejrzanych ciasteczek (
BROADCAST=..., sekwencje base64, backticki). - Sprawdź ewentualne połączenia wychodzące do znanych IOCs (np.
localtonet.com, IP143.47.53.106, itp.). - Zweryfikuj, czy na hoście nie ma trwałych mechanizmów (crontab, systemd timers, autoruns) ani nietypowych plików w
/tmp. - Zaimplementuj reguły IDS/IPS – VulnCheck publikuje gotowe sygnatury Snort/Suricata dla klientów.
4) Zmniejszanie ryzyka długoterminowo
- Segmentacja i zasada najmniejszych uprawnień dla serwerów telekomunikacyjnych.
- AppArmor/SELinux oraz sandboxing procesów WWW.
- Włączenie monitoringu EDR i list kontroli aplikacji dla procesów sieciowych (
nc,bash,python). - Używaj list KEV (np. VulnCheck KEV) jako wejścia do priorytetyzacji patchy i skanowań ataków w toku.
Różnice / porównania z innymi przypadkami
W odróżnieniu od wielu RCE w aplikacjach web, tu wektor to ciasteczko (pre-auth), a nie parametry URL/POST. To ułatwia ukrycie się przed prostymi filtrami. W porównaniu z głośnymi 0-dayami w urządzeniach VPN (np. Ivanti z 2025 r.), bariera wejścia jest podobnie niska, ale powierzchnia mniejsza – to jednak nie zmniejsza krytyczności dla organizacji, które wdrożyły ICTBroadcast jako usługę internetową.
Podsumowanie / kluczowe wnioski
- CVE-2025-2611 to krytyczna, pre-auth RCE; ataki już trwają i mają dwa powtarzalne etapy (sonda + powłoka).
- Publiczny Metasploit przyspiesza masową eksploatację.
- Priorytety: natychmiastowa izolacja hostów, aktualizacja, reguły WAF/IPS, przegląd logów i IOCs, wzmocnienie hostów i segmentacja.
Źródła / bibliografia
- VulnCheck: „ICTBroadcast Command Injection Actively Exploited (CVE-2025-2611)” – szczegóły techniczne, payloady, IOCs i status KEV (14 paź 2025). (VulnCheck)
- NVD: wpis CVE-2025-2611 – opis, zakres wersji (≤ 7.4), CVSS v4 i odniesienia. (NVD)
- Rapid7 Metasploit Wrap-Up (08 sie 2025): dostępność modułu
ictbroadcast_unauth_cookie. (Rapid7) - The Hacker News: podsumowanie i potwierdzenie aktywnej eksploatacji w środowisku. (The Hacker News)
- VulnCheck KEV (strona społeczności): wykorzystanie KEV do priorytetyzacji reakcji. (VulnCheck)
