Underc0de - La Casa de los Informáticos

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha incorporado una nueva vulnerabilidad crítica a su catálogo de vulnerabilidades explotadas conocidas (KEV), tras confirmar su explotación activa en la naturaleza. Se trata de la falla CVE-2025-61932, que afecta a Motex Lanscope Endpoint Manager, una popular plataforma japonesa de administración y monitoreo de endpoints utilizada por organizaciones públicas y privadas en todo el mundo.

Una vulnerabilidad crítica con impacto directo en la seguridad empresarial

La vulnerabilidad CVE-2025-61932, con una puntuación CVSS v4 de 9.3, representa una amenaza de alta severidad. Según CISA, el fallo radica en una verificación incorrecta de la fuente del canal de comunicación, lo que permitiría a un atacante remoto ejecutar código arbitrario en los sistemas afectados enviando paquetes especialmente diseñados.

En la práctica, esto otorga a los atacantes la posibilidad de tomar control total del sistema afectado, instalar puertas traseras, robar información confidencial o usar los dispositivos comprometidos como punto de entrada para moverse lateralmente dentro de la red corporativa. Dado que Lanscope Endpoint Manager se usa para monitorear y gestionar múltiples equipos desde una consola central, la explotación exitosa de esta vulnerabilidad puede comprometer infraestructuras completas en cuestión de minutos.

Versiones afectadas y actualizaciones disponibles

El fallo de seguridad afecta a las versiones 9.4.7.1 y anteriores de Lanscope Endpoint Manager, tanto en el programa cliente como en el agente de detección. Motex ha lanzado una serie de actualizaciones que mitigan el problema y corrigen la vulnerabilidad. Las versiones seguras incluyen:

• 9.3.2.7
• 9.3.3.9
• 9.4.0.5
• 9.4.1.5
• 9.4.2.6
• 9.4.3.8
• 9.4.4.6
• 9.4.5.4
• 9.4.6.3
• 9.4.7.3

Los administradores de sistemas deben actualizar de inmediato a cualquiera de estas versiones seguras para evitar la explotación activa. Motex ha confirmado que la vulnerabilidad fue abordada en estas actualizaciones y ha instado a sus clientes a implementar los parches de manera urgente.

Explotación activa confirmada en Japón

Aunque CISA no ha revelado detalles técnicos sobre los ataques en curso ni sobre los grupos responsables, múltiples fuentes japonesas han confirmado la explotación de esta vulnerabilidad.

El portal Japan Vulnerability Notes (JVN) publicó una alerta en la que señaló que Motex había detectado intentos de explotación dirigidos a un cliente que recibió un paquete malicioso sospechoso relacionado con CVE-2025-61932.

Asimismo, el JPCERT/CC (Japan Computer Emergency Response Team Coordination Center) reconoció la recepción de paquetes no autorizados en puertos específicos de varios entornos empresariales en Japón. Estas actividades, según el organismo, se han venido registrando desde abril de 2025, lo que indica que la vulnerabilidad podría haber sido explotada de forma encubierta durante meses antes de su divulgación pública.

Los indicios sugieren que los atacantes estarían utilizando la falla para implantar puertas traseras personalizadas, permitiendo un acceso persistente a los sistemas comprometidos y facilitando futuras intrusiones o robo de datos.

Alerta oficial de CISA y fecha límite para aplicar el parche

Ante la confirmación de explotación activa, CISA ha exigido a todas las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches de seguridad correspondientes antes del 12 de noviembre de 2025. Esta medida busca garantizar que los entornos gubernamentales y críticos no sigan expuestos a un vector de ataque altamente peligroso que podría ser aprovechado para comprometer infraestructuras sensibles.

CISA también ha recomendado a las organizaciones privadas seguir las mismas directrices, reforzando sus medidas de protección y adoptando las versiones seguras del software sin demora.

Riesgos y posibles impactos de la vulnerabilidad

La explotación de CVE-2025-61932 puede tener consecuencias graves en términos de confidencialidad, integridad y disponibilidad de los sistemas. Entre los riesgos más relevantes se incluyen:

• Ejecución remota de código (RCE): permite a los atacantes ejecutar comandos con privilegios elevados.
• Robo de credenciales o datos confidenciales: acceso a información corporativa, registros de usuarios y configuraciones críticas.
• Instalación de malware o backdoors: posibilidad de mantener acceso persistente a la red.
• Movimiento lateral: uso del sistema comprometido para atacar otros equipos de la infraestructura.
• Interrupción operativa: manipulación o sabotaje de sistemas administrados por Lanscope.

Recomendaciones de mitigación

Para reducir el riesgo de explotación, se recomienda adoptar las siguientes medidas de seguridad:

• Actualizar inmediatamente Lanscope Endpoint Manager a una de las versiones seguras publicadas por Motex.
• Restringir el acceso a los puertos de comunicación utilizados por Lanscope, limitándolo solo a redes internas confiables.
• Implementar monitoreo de tráfico para detectar paquetes no autorizados o comportamientos anómalos.
• Verificar la integridad del sistema en busca de archivos o procesos sospechosos que puedan indicar presencia de una puerta trasera.
• Revisar las políticas de segmentación de red, minimizando el movimiento lateral en caso de compromiso.
• Realizar copias de seguridad regulares y mantenerlas aisladas para facilitar la recuperación ante incidentes.

En fin...

La inclusión de CVE-2025-61932 en el catálogo KEV de CISA marca una nueva alerta crítica para organizaciones que dependen de Motex Lanscope Endpoint Manager. Su explotación activa demuestra que los ciberdelincuentes continúan aprovechando vulnerabilidades en herramientas de administración de endpoints para comprometer infraestructuras corporativas.

Actualizar el software sin demora y fortalecer las defensas de red son pasos imprescindibles para prevenir intrusiones. En un contexto donde los ataques dirigidos son cada vez más sofisticados, la gestión proactiva de vulnerabilidades es la clave para mantener la resiliencia y continuidad operativa de las organizaciones.

Fuente: https://thehackernews.com/