Investigadores de ciberseguridad han revelado que una falla de seguridad crítica que afecta al software de marcador automático de ICT Innovations, ICTBroadcast, está siendo explotada en la naturaleza.
La vulnerabilidad, a la que se le ha asignado el identificador CVE CVE-2025-2611 (puntuación CVSS: 9,3), está relacionada con una validación de entrada incorrecta cuando la aplicación del centro de llamadas no pasa de forma segura los datos de las cookies de sesión al procesamiento del shell, lo que podría conducir a la ejecución remota de código no autenticado.
Esto permite a un atacante inyectar comandos de shell en cookies de sesión que se ejecutan en el servidor vulnerable. Este fallo de seguridad afecta a las versiones 7.4 e inferiores de ICTBroadcast.
«Un atacante está aprovechando la inyección de comandos no autenticados en ICTBroadcast a través de la cookie BROADCAST para ejecutar código de forma remota», dijo Jacob Baines de VulnCheck en una alerta del martes. «Hay aproximadamente 200 instancias publicadas en línea».
La empresa de ciberseguridad anunció el 11 de octubre que había detectado un exploit en vivo. El ataque se produjo en dos etapas, comenzando con una verificación de vulnerabilidad basada en el tiempo, seguida de un intento de configurar un shell inverso.
Para hacerlo, se ha observado que un atacante desconocido inyecta un comando codificado en Base64 que se traduce como «sleep3» en la cookie BROADCAST de una solicitud HTTP especialmente diseñada para confirmar la ejecución del comando y crear un shell inverso.
«El atacante utilizó la URL localto(.)net en la carga útil mkfifo + nc y también realizó conexiones a 143.47.53(.)106 en otras cargas útiles», señaló Baines.
Vale la pena señalar que Fortinet informó anteriormente tanto el uso del enlace localto.net como la dirección IP en relación con una campaña de correo electrónico dirigida a organizaciones en España, Italia y Portugal para distribuir un troyano de acceso remoto (RAT) basado en Java llamado Ratty RAT.
VulnCheck señaló que la superposición de estas métricas sugiere la posibilidad de reutilizar o compartir herramientas. En este momento, no hay información sobre el estado del parche para esta falla. Hacker News se ha puesto en contacto con ICT Innovations para obtener más comentarios. Actualizaré el artículo si recibo una respuesta.
Source link
