Tìm kiếm

Tin tặc nhắm mục tiêu vào máy chủ ICTBroadcast thông qua khai thác cookie

Tin tặc nhắm mục tiêu vào máy chủ ICTBroadcast thông qua khai thác cookie

Tác giả Starlink, T.Mười 16, 2025, 09:00:05 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Mười 16, 2025, 09:00:05 CHIỀU
Các nhà nghiên cứu an ninh mạng đã tiết lộ rằng một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến ICTBroadcast, một phần mềm quay số tự động của ICT Innovations, đã bị khai thác một cách tích cực trên thực tế.

Lỗ hổng bảo mật, được gán mã định danh CVE là CVE-2025-2611 (điểm CVSS: 9,3), liên quan đến việc xác thực đầu vào không đúng cách có thể dẫn đến việc thực thi mã từ xa không được xác thực do ứng dụng tổng đài truyền dữ liệu cookie phiên không an toàn đến quá trình xử lý shell.


Điều này cho phép kẻ tấn công chèn lệnh shell vào cookie phiên, từ đó có thể thực thi trên máy chủ dễ bị tấn công. Lỗ hổng bảo mật này ảnh hưởng đến ICTBroadcast phiên bản 7.4 trở xuống.

"Những kẻ tấn công đang lợi dụng việc chèn lệnh chưa được xác thực vào ICTBroadcast thông qua cookie BROADCAST để thực thi mã từ xa", Jacob Baines của VulnCheck cho biết trong một cảnh báo hôm thứ Ba. "Khoảng 200 trường hợp trực tuyến đã bị lộ."

Công ty an ninh mạng cho biết họ đã phát hiện ra hành vi khai thác thực tế vào ngày 11 tháng 10, với các cuộc tấn công diễn ra theo hai giai đoạn, bắt đầu bằng việc kiểm tra khai thác theo thời gian, sau đó là các nỗ lực thiết lập shell đảo ngược.


Để đạt được mục đích đó, những tác nhân đe dọa chưa xác định đã được quan sát thấy đang chèn lệnh được mã hóa Base64 có nghĩa là "sleep 3" vào cookie BROADCAST trong các yêu cầu HTTP được thiết kế đặc biệt để xác nhận việc thực thi lệnh và sau đó tạo ra các shell ngược.

Baines lưu ý: "Kẻ tấn công đã sử dụng URL localto[.]net trong tải trọng mkfifo + nc và cũng tạo kết nối đến 143.47.53[.]106 trong các tải trọng khác".

Điều đáng chú ý là cả việc sử dụng liên kết   Đăng nhập để xem liên kết và địa chỉ IP trước đây đều đã được Fortinet gắn cờ liên quan đến chiến dịch email phát tán trojan truy cập từ xa (RAT) dựa trên Java có tên Ratty RAT nhắm vào các tổ chức ở Tây Ban Nha, Ý và Bồ Đào Nha.

VulnCheck chỉ ra rằng những điểm chồng chéo chỉ báo này cho thấy khả năng tái sử dụng hoặc chia sẻ công cụ. Hiện tại vẫn chưa có thông tin về trạng thái bản vá của lỗ hổng. Hacker News đã liên hệ với ICT Innovations để xin thêm bình luận và chúng tôi sẽ cập nhật bài viết nếu nhận được phản hồi.
Tạo trang in
Lên đầu trang Trang1
User actions

Tin tặc nhắm mục tiêu vào máy chủ ICTBroadcast thông qua khai thác cookie