A kiberbiztonsági kutatók felfedezték, hogy egy ICTBroadcast-et érintő kritikus hibát használtak ki a csalók. A sérülékenység az ICTBroadcast 7.4 és annál korábbi verziókat érinti.
A CVE-2025-2611 egy helytelen bemeneti érvényesítéssel kapcsolatos sérülékenység, amely hitelesítetlen, távoli kódfuttatáshoz vezethet, mivel a call center alkalmazás nem biztonságosan továbbítja a munkamenet sütik adatait a shell feldolgozásához. Ennek segítségével a támadó képes shell parancsokat injektálni a munkamenet sütikbe, amelyet a sérülékeny szerverek futtatnak.
A kiberbiztonsági cég közölte, hogy október 11-én észlelte az aktív kihasználást, amely két fázisban történt: először időalapú kihasználási ellenőrzés formájában, majd fordított shell-ek létrehozására tett kísérletekként.
(A CVE-2025-2611 kihasználásának idővonala)
Ezzel kapcsolatban megfigyelték, hogy ismeretlen fenyegető szereplők egy Base64-kódolású parancsot – amely „sleep 3”-nak felel meg – illesztettek be a BROADCAST cookie-ba speciálisan kialakított HTTP-kérésekben, hogy megerősítsék a parancs végrehajtását, majd létrehozzák a fordított shell-eket.
Érdemes megjegyezni, hogy mind a localto[.]net link, mind az IP-cím használatát korábban a Fortinet már megjelölte egy olyan e-mail kampány kapcsán, amelyben egy Ratty RAT nevű Java-alapú távoli hozzáférési trójai programot terjesztettek spanyol, olasz és portugál szervezetekben. A VulnCheck arra mutatott rá, hogy ezen indikátorok átfedései lehetséges újrafelhasználásra utalnak vagy megosztott eszközökre. Jelenleg nincs információ a hiba javításának állapotáról.