Агентство кибербезопасности и инфраструктуры США (CISA) добавило новую критическую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) на основании подтвержденных данных об активной эксплуатации в дикой природе. Речь идет о CVE-2025-61932 в системе управления конечными точками Motex LANSCOPE, связанной с неправильной проверкой источника коммуникационного канала. Данный класс уязвимостей является частым вектором атаки для злонамеренных киберакторов и представляет значительные риски для федеральных учреждений и частного сектора.
Детали узявимости
Уязвимость CVE-2025-61932 затрагивает локальную (On-Premises) версию продукта Lanscope Endpoint Manager, а именно его клиентскую программу (MR) и агент обнаружения (DA). Суть проблемы заключается в том, что программное обеспечение неправильно проверяет источник входящих запросов. Это позволяет удаленному злоумышленнику, не обладающему привилегиями или учетными данными, выполнить произвольный код на целевой системе, отправив специально сформированные сетевые пакеты. Проще говоря, система не может достоверно отличить легитимный запрос от вредоносного, что открывает путь для полного компрометирования устройства.
Серьезность угрозы подчеркивается чрезвычайно высокими оценками по системе CVSS (Common Vulnerability Scoring System). Для версии 3.0 уязвимость получила максимально возможный балл 9.8 и классификацию "КРИТИЧЕСКАЯ". Векторная строка CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H расшифровывается следующим образом: атака может быть осуществлена через сеть (Network), не требует специальных условий для эксплуатации (Low Complexity), для нее не нужны привилегии (None), а также не требуется взаимодействие с пользователем (None). Последствия эксплуатации - полная компрометация конфиденциальности (High), целостности (High) и доступности (High) системы. В более современной версии CVSS 4.0 оценка также остается критической - 9.3 балла.
Факт включения уязвимости в каталог KEV означает, что CISA располагает достоверными свидетельствами того, что киберпреступники или продвинутые постоянные угрозы (APT) уже используют эту брешь в безопасности для реальных атак. Согласно обязательной директиве Агентства, все федеральные гражданские исполнительные ведомства США обязаны устранить данную уязвимость в установленные сроки. Хотя директива формально адресована государственным организациям, CISA настоятельно рекомендует всем коммерческим компаниям и частным организациям рассмотреть данный случай как образец для собственных программ управления уязвимостями.
Продукт Lanscope Endpoint Manager относится к категории решений для единого управления конечными точками (Unified Endpoint Management, UEM). Такие системы обладают широкими правами и возможностями на управляемых компьютерах, что делает их привлекательной мишенью для атакующих. Успешная эксплуатация уязвимости в подобном программном обеспечении может позволить злоумышленникам получить стойкий доступ к корпоративной сети, перемещаться по ней боковыми движениями, красть конфиденциальные данные или разворачивать вредоносное ПО, такое как программы-вымогатели (ransomware).
То, что уязвимость связана именно с нарушением проверки источника связи, вызывает особую озабоченность у экспертов по безопасности. Ошибки аутентификации и авторизации относятся к одним из самых распространенных и опасных классов уязвимостей, так как они нарушают фундаментальные принципы безопасности. В данном случае атакующий может выдать себя за доверенный компонент инфраструктуры, обойдя все механизмы защиты.
Включение уязвимости в каталог KET служит мощным сигналом для команд безопасности (SOC), специалистов по управлению уязвимостями и администраторов по всему миру. Это прямое указание на то, что данная брешь является активной частью арсенала киберпреступников, и ее приоритет для исправления должен быть максимально высоким. Организациям, использующим затронутую версию Lanscope Endpoint Manager, необходимо незамедлительно обратиться к вендору за исправляющими патчами или иными руководствами по смягчению последствий. Стандартной практикой в таких ситуациях является изоляция систем управления от непроверенных сетей, сегментация сети и мониторинг сетевого трафика на предмет аномальных подключений к соответствующим портам и службам.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-61932
- https://www.motex.co.jp/news/notice/2025/release251020/
- https://jvn.jp/en/jp/JVN86318557/
