Source: https://thehackernews.com/2025/10/hackers-target-ictbroadcast-servers-via.html
🛡 概要
サイバーセキュリティ研究者は、ICT Innovationsの自動ダイヤラーソフトウェアICTBroadcastに関する重大なセキュリティ脆弱性が実際に悪用されていることを明らかにしました。この脆弱性はCVE識別子CVE-2025-2611(CVSSスコア: 9.3)として割り当てられています。問題は不適切な入力検証に関連しており、これは認証されていないリモートコード実行を引き起こす可能性があります。具体的には、コールセンターアプリケーションがセッションCookieデータを安全でない方法でシェル処理に渡してしまうことが原因です。
🔍 技術詳細
この脆弱性は、ICTBroadcastのバージョン7.4以下に影響を及ぼします。攻撃者は、BROADCAST Cookieを通じて認証されていないコマンドインジェクションを利用し、リモートコード実行を達成します。2023年10月11日に実際の悪用が確認され、攻撃は2段階に分かれています。最初に時間ベースのエクスプロイトチェックが行われ、その後リバースシェルを設定する試みが行われます。攻撃者は、特別に構築されたHTTPリクエストでBROADCAST CookieにBase64エンコードされたコマンド「sleep 3」を注入し、コマンド実行を確認してリバースシェルを作成しています。
⚠ 影響
この脆弱性により、約200のオンラインインスタンスが露出しているとされます。攻撃者は、mkfifo + ncペイロードにlocalto[.]netのURLを使用し、他のペイロードではIPアドレス143.47.53[.]106に接続しています。これらの指標の重複は、可能な再利用や共有ツールの存在を示唆しています。この脆弱性のパッチ状況に関する情報は現在利用可能ではありません。ICT Innovationsへのコメントを求めていますが、返答があればストーリーを更新する予定です。
🛠 対策
ICTBroadcastを使用している組織は、直ちにソフトウェアのバージョンを最新のものにアップデートすることを推奨します。また、セッションCookieの管理を見直し、適切な入力検証を実施することが重要です。さらに、サーバーへのアクセスを制限し、異常なトラフィックを監視するためのセキュリティ対策を強化することが必要です。攻撃の兆候が見られた場合は、迅速に対応するための計画を策定しておくことが望ましいです。
