Pesquisadores em cibersegurança revelaram uma falha crítica no ICTBroadcast, software autodialer desenvolvido pela ICT Innovations, que vem sendo explorada ativamente em ambientes reais.
Identificada como
CVE-2025-2611
e com pontuação CVSS 9,3, a vulnerabilidade decorre de validação inadequada de entradas.
Isso permite a execução remota de código sem autenticação, pois a aplicação do call center processa de forma insegura os dados do cookie de sessão via shell.
Na prática, um invasor pode injetar comandos shell no cookie de sessão, que serão executados no servidor vulnerável.
A falha afeta versões do ICTBroadcast até a 7.4.
Segundo Jacob Baines, da VulnCheck, “os atacantes estão explorando a injeção não autenticada de comandos via cookie BROADCAST para obter execução remota de código.” A empresa identificou cerca de 200 instâncias expostas na internet.
A exploração em ambiente real foi detectada em 11 de outubro e ocorre em duas fases: inicialmente, uma verificação baseada em tempo para confirmar a vulnerabilidade, seguida por tentativas de estabelecer reverse shells.
Os agentes mal-intencionados injetam um comando codificado em Base64 correspondente a “sleep 3” no cookie BROADCAST, enviando requisições HTTP especialmente construídas para validar a execução dos comandos e estabelecer conexões de retorno.
Baines também observou que o invasor utilizou uma URL no domínio localto[.]net em um payload que combina mkfifo com nc, além de realizar conexões para o IP 143[.]47.53[.]106 em outras cargas maliciosas.
É importante destacar que tanto o domínio localto[.]net quanto o endereço IP estiveram anteriormente associados, conforme relatório da Fortinet, a uma campanha de phishing que distribuía o trojan de acesso remoto (RAT) Ratty RAT, baseado em Java, direcionado a organizações na Espanha, Itália e Portugal.
Essa sobreposição de indicadores sugere possível reutilização de ferramentas ou cooperação entre os grupos responsáveis, aponta a VulnCheck.
Até o momento, não há informações sobre a disponibilidade de patch para corrigir a vulnerabilidade..
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...