Tin tặc tấn công máy chủ ICTBroadcast qua lỗ hổng Cookie để giành quyền truy cập Shell từ xa

Các nhà nghiên cứu an ninh mạng đã tiết lộ rằng một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến ICTBroadcast, phần mềm quay số tự động của ICT Innovations, đang bị khai thác tích cực trong thực tế. Lỗ hổng, được gán mã định danh CVE-2025-2611 (điểm CVSS: 9.3), liên quan đến việc xác thực đầu vào không đúng cách có thể dẫn đến thực thi mã từ xa (remote code execution) do ứng dụng tổng đài truyền dữ liệu cookie phiên (session cookie) không an toàn đến quá trình xử lý shell.

Các nhà nghiên cứu an ninh mạng đã tiết lộ rằng một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến ICTBroadcast, một phần mềm quay số tự động của ICT Innovations, đã bị khai thác tích cực trong thực tế.

Lỗ hổng, được gán mã định danh CVE CVE-2025-2611 (điểm CVSS: 9.3), liên quan đến việc xác thực đầu vào không đúng cách có thể dẫn đến thực thi mã từ xa (unauthenticated remote code execution) do ứng dụng tổng đài truyền dữ liệu cookie phiên (session cookie) không an toàn đến quá trình xử lý shell.

Điều này cho phép kẻ tấn công chèn các lệnh shell vào một session cookie mà sau đó có thể được thực thi trên máy chủ dễ bị tấn công. Lỗ hổng bảo mật này ảnh hưởng đến các phiên bản ICTBroadcast 7.4 trở xuống.

"Kẻ tấn công đang khai thác lỗ hổng unauthenticated command injection trong ICTBroadcast thông qua cookie BROADCAST để giành quyền thực thi mã từ xa (remote code execution)," Jacob Baines của VulnCheck cho biết trong một cảnh báo hôm thứ Ba. "Khoảng 200 phiên bản trực tuyến đang bị phơi nhiễm."

Công ty an ninh mạng cho biết họ đã phát hiện việc khai thác trong thực tế (in-the-wild exploitation) vào ngày 11 tháng 10, với các cuộc tấn công xảy ra theo hai giai đoạn, bắt đầu bằng kiểm tra exploit dựa trên thời gian, sau đó là các nỗ lực thiết lập reverse shells.

Để đạt được mục tiêu đó, các tác nhân đe dọa (threat actors) không xác định đã được quan sát thấy đang chèn một lệnh mã hóa Base64 tương đương với "sleep 3" vào cookie BROADCAST trong các yêu cầu HTTP được chế tạo đặc biệt để xác nhận thực thi lệnh và sau đó tạo ra các reverse shells.

"Kẻ tấn công đã sử dụng một URL localto[.]net trong payload mkfifo + nc, đồng thời cũng thực hiện các kết nối đến 143.47.53[.]106 trong các payload khác," Baines lưu ý.

Điều đáng chú ý là cả việc sử dụng liên kết localto.net và địa chỉ IP này đều đã được Fortinet gắn cờ trước đây liên quan đến một chiến dịch email phân phối một mã độc RAT (remote access trojan) dựa trên Java có tên Ratty RAT nhắm mục tiêu vào các tổ chức ở Tây Ban Nha, Ý và Bồ Đào Nha.

Các điểm trùng lặp chỉ số này cho thấy khả năng tái sử dụng hoặc chia sẻ công cụ, VulnCheck chỉ ra. Hiện tại không có thông tin nào về tình trạng vá lỗi của lỗ hổng. The Hacker News đã liên hệ với ICT Innovations để xin thêm bình luận và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.