Los investigadores de ciberseguridad han revelado que una falla de seguridad crítica que afecta a ICTBroadcast, un software de marcado automático de ICT Innovations, ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, asignada al identificador CVE CVE-2025-2611 (puntuación CVSS: 9.3), se refiere a una validación de entrada incorrecta que puede provocar la ejecución remota de código no autenticado debido a que la aplicación del centro de llamadas pasa de forma insegura los datos de las cookies de sesión al procesamiento de shell.
Esto, a su vez, permite a un atacante inyectar comandos de shell en una cookie de sesión que pueden ejecutarse en el servidor vulnerable. La falla de seguridad afecta a las versiones 7.4 y anteriores de ICTBroadcast.
«Los atacantes están aprovechando la inyección de comandos no autenticados en ICTBroadcast a través de la cookie BROADCAST para ejecutar código de forma remota», dijo Jacob Baines, de VulnCheck dijo en una alerta del martes. «Aproximadamente 200 instancias en línea están expuestas».
La empresa de ciberseguridad dijo que detectó una explotación ilegal el 11 de octubre, y que los ataques se produjeron en dos fases, empezando por una verificación temporal de los exploits seguida de intentos de configurar proyectiles inversos.
Con ese fin, se ha observado que actores de amenazas desconocidos inyectan un comando codificado en Base64 que se traduce como «dormir 3» en la cookie BROADCAST en solicitudes HTTP especialmente diseñadas para confirmar la ejecución del comando y, a continuación, crear shells inversos.
«El atacante usó una URL localto [.] net en la carga útil mkfifo + nc y también estableció conexiones a 143.47.53 [.] 106 en otras cargas útiles», señaló Baines.
Vale la pena señalar que Fortinet marcó anteriormente tanto el uso de un enlace localto.net como la dirección IP en relación con un campaña de correo electrónico distribuyendo un troyano de acceso remoto (RAT) basado en Java llamado Ratty RAT dirigido a organizaciones de España, Italia y Portugal.
Estas superposiciones de indicadores sugieren una posible reutilización o uso compartido de herramientas, señaló VulnCheck. Actualmente no hay información disponible sobre el estado del parche de la falla. The Hacker News se ha puesto en contacto con ICT Innovations para obtener más comentarios, y actualizaremos la historia si tenemos noticias.