Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
ICTBroadcast sotto attacco: Vulnerabilità critica consente controllo remoto ai cybercriminali
Una grave vulnerabilità è stata recentemente scoperta in ICTBroadcast, un software autodialer molto diffuso sviluppato da ICT Innovations, ed è già oggetto di attacchi attivi. La vulnerabilità, catalogata come CVE-2025-2611 con un punteggio CVSS di 9.3, è causata da una validazione inadeguata degli input: l’applicazione call center passa in modo non sicuro i dati del cookie di sessione a processi shell.
Questo difetto consente a un attaccante di iniettare comandi all’interno di un cookie di sessione, che vengono poi eseguiti sul server vulnerabile senza che sia richiesta autenticazione. La versione colpita è ICTBroadcast 7.4 e tutte le precedenti.
Dettagli dell’exploit
Secondo i ricercatori di sicurezza, la falla viene sfruttata tramite il cookie BROADCAST, permettendo l’esecuzione di codice remoto sul server. Una scansione condotta da VulnCheck ha individuato circa 200 istanze online esposte a questo rischio. L’attacco si presenta in due fasi:
- Fase 1: viene effettuato un controllo tramite exploit basato sul tempo (ad esempio, l’iniezione del comando “sleep 3” codificato in Base64 nel cookie).
- Fase 2: viene tentato di instaurare una reverse shell, offrendo così pieno accesso remoto al server da parte dell’attaccante.
Indicatori di compromissione
Durante l’analisi delle attività malevole, sono stati rilevati payload che utilizzano URL localto.net e connessioni verso l’indirizzo IP 143.47.53.106, elementi già noti in precedenti campagne malevole che distribuivano il trojan Ratty RAT contro organizzazioni in paesi come Spagna, Italia e Portogallo. Queste sovrapposizioni tra indicatori suggeriscono il possibile riutilizzo di strumenti o infrastrutture tra gruppi di cybercriminali.
Raccomandazioni per la mitigazione
Attualmente non è noto se esista una patch ufficiale per la vulnerabilità, e la società sviluppatrice non ha ancora fornito aggiornamenti. Nel frattempo, si raccomanda agli amministratori di ICTBroadcast di:
- Monitorare attentamente i propri sistemi
- Limitare l’accesso alle interfacce web esposte
- Valutare l’implementazione di soluzioni di mitigazione temporanee, come il filtraggio dei cookie sospetti e l’analisi dei log per individuare attività anomale
- Aggiornare tempestivamente tutti i software e adottare pratiche di sicurezza robuste
L’importanza di adottare misure preventive e monitorare costantemente i sistemi rimane fondamentale per contrastare efficacemente minacce di questo tipo.