Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Falla crítica en ICTBroadcast (CVE-2025-2611) bajo ataque activo
Noticias

Falla crítica en ICTBroadcast (CVE-2025-2611) bajo ataque activo

por Dragora
Escrito por Dragora

Los investigadores de ciberseguridad han alertado sobre la explotación activa de una vulnerabilidad crítica en ICTBroadcast, el popular software de marcación automática desarrollado por ICT Innovations.
El fallo, catalogado como CVE-2025-2611 con una puntuación CVSS de 9.3, representa un riesgo severo de ejecución remota de código (RCE) no autenticado y actualmente está siendo aprovechado en ataques reales.

 Una falla de validación que permite tomar el control del servidor

De acuerdo con el informe técnico publicado por Jacob Baines, investigador de VulnCheck, la vulnerabilidad se origina por una validación de entrada incorrecta dentro del procesamiento de cookies de sesión del sistema ICTBroadcast.
El software, utilizado ampliamente por centros de llamadas y plataformas de automatización de comunicaciones, pasa los datos de las cookies directamente al shell del servidor sin una sanitización adecuada, lo que abre la puerta a la inyección de comandos arbitrarios.

Esta debilidad permite a los atacantes inyectar comandos maliciosos dentro de la cookie de sesión denominada BROADCAST, que luego pueden ejecutarse directamente en el servidor vulnerable.
En la práctica, esto significa que un atacante puede ejecutar código remoto con privilegios del sistema, instalar malware, filtrar información o tomar control total de la infraestructura afectada.

Explotación activa detectada en octubre de 2025

VulnCheck confirmó que la vulnerabilidad ha sido explotada activamente desde el 11 de octubre de 2025, en una serie de ataques que se desarrollaron en dos fases:

  1. Prueba del exploit (fase de reconocimiento): los atacantes envían comandos simples, como

    1
    sleep 3

    , codificados en Base64, para verificar si el sistema responde y confirmar que el exploit es viable.

  2. Ejecución del ataque (fase de compromiso): una vez validada la ejecución del comando, los atacantes intentan crear shells inversos mediante comandos que conectan los sistemas comprometidos con servidores controlados por los atacantes.

Estas técnicas reflejan una explotación avanzada, cuidadosamente diseñada para mantener la persistencia y el control remoto de los sistemas comprometidos.

 Alrededor de 200 instancias vulnerables expuestas en línea

De acuerdo con el monitoreo de VulnCheck, existen al menos 200 instancias de ICTBroadcast expuestas públicamente en Internet, ejecutando versiones vulnerables (7.4 y anteriores).
Esto significa que múltiples organizaciones —posiblemente centros de contacto, proveedores VoIP o servicios automatizados de llamadas— están actualmente en riesgo de ser comprometidas.

El análisis también identificó que los atacantes utilizan la infraestructura de localto.net y la dirección IP 143.47.53[.]106 en sus cargas útiles, ambos previamente asociados con campañas de malware detectadas por Fortinet.
Particularmente, estos indicadores fueron vinculados con una operación que distribuía el troyano de acceso remoto Ratty RAT, un malware basado en Java diseñado para el espionaje y la exfiltración de datos.

Acceso remoto al shell

Conexión con campañas previas y posibles actores

Las coincidencias en la infraestructura de ataque y los indicadores de red sugieren que los atacantes podrían estar reutilizando herramientas o scripts previamente desarrollados.
Aunque aún no se ha confirmado la atribución, los investigadores de VulnCheck no descartan que el mismo grupo o un afiliado de campañas anteriores en Europa esté detrás de estos ataques.

Los atacantes están aprovechando la inyección de comandos no autenticados a través de la cookie BROADCAST para ejecutar código remoto en ICTBroadcast”, explicó Baines en su comunicado.
Esta táctica, señaló, permite a los atacantes ejecutar instrucciones sin necesidad de credenciales, haciendo que la explotación sea rápida, discreta y altamente efectiva.

 Falta de parche y riesgo para organizaciones globales

Hasta el momento de la publicación, ICT Innovations no ha emitido un parche oficial para mitigar CVE-2025-2611, lo que agrava la urgencia de la situación.
Los investigadores recomiendan a todas las organizaciones que utilicen ICTBroadcast 7.4 o versiones anteriores tomar medidas inmediatas de mitigación, como:

  • Desconectar temporalmente las instancias expuestas a Internet.

  • Implementar filtros o firewalls de aplicaciones web (WAF) para bloquear solicitudes que incluyan la cookie BROADCAST manipulada.

  • Revisar los registros del servidor en busca de patrones de actividad sospechosa.

  • Actualizar o aplicar parches tan pronto como el proveedor los publique.

Importancia de la vulnerabilidad y su impacto

El impacto de CVE-2025-2611 no se limita al software afectado. Dado que ICTBroadcast se integra con múltiples servicios de comunicación, la explotación exitosa podría tener un efecto en cadena en otros sistemas de mensajería o bases de datos conectadas.
Además, al tratarse de un ataque sin autenticación previa, los ciberdelincuentes pueden dirigirse a cualquier instancia pública sin necesidad de credenciales, lo que amplía considerablemente la superficie de ataque.

Según los analistas, este tipo de vulnerabilidades —que combinan ejecución remota y exposición pública— son uno de los vectores más buscados por grupos de ransomware y botnets.
Si los atacantes logran automatizar el exploit, podrían convertir los servidores ICTBroadcast comprometidos en nodos dentro de redes maliciosas o usarlos como trampolines para infiltrarse en redes corporativas más amplias.

Alerta máxima y acción inmediata

La vulnerabilidad CVE-2025-2611 en ICTBroadcast representa un riesgo crítico para las organizaciones que dependen de este software para operaciones de comunicación automatizadas.
Con evidencia confirmada de explotación activa y la ausencia de un parche oficial, la mitigación proactiva y la segmentación de red son esenciales para reducir la exposición.

VulnCheck y otras firmas de ciberseguridad recomiendan monitorizar los sistemas afectados y aplicar medidas defensivas inmediatas hasta que ICT Innovations publique una corrección oficial.

En un ecosistema donde la explotación de vulnerabilidades puede transformarse rápidamente en ataques de ransomware o robo de datos, la rapidez en la respuesta y la actualización constante siguen siendo las mejores defensas contra los ciberataques en evolución.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!