Кіберфахівці виявили активну експлуатацію критичної вразливості в системі ICTBroadcast — програмі автоматичного набору дзвінків, яку використовують кол-центри. Через помилку у валідації введення даних атакувальники можуть отримати віддалений доступ до серверів без автентифікації.
Вразливість отримала ідентифікатор CVE-2025-2611 і оцінку 9.3 балів CVSS, що класифікує її як критичну. Суть проблеми полягає в тому, що додаток небезпечно передає дані сесійного cookie BROADCAST до оболонки (shell), що відкриває можливість для ін’єкції шкідливих команд. Компанія VulnCheck повідомила, що вразливість активно використовують зловмисники. Під час атаки вони спершу перевіряють можливість виконання команд за допомогою Base64-команди “sleep 3”, а потім створюють зворотні оболонки (reverse shells) для контролю над системою.
Аналіз показав, що зловмисники застосовують піддомен localto[.]net та IP-адресу 143.47.53[.]106, які раніше були зафіксовані у кампаніях із розповсюдження Ratty RAT — Java-трояна для віддаленого керування, який атакував компанії в Іспанії, Італії та Португалії.
На сьогодні немає інформації про випуск патчу, а кількість відкритих онлайн-екземплярів ICTBroadcast становить близько 200 активних серверів. Експерти рекомендують терміново обмежити публічний доступ до серверів і впровадити додатковий моніторинг безпеки.
ICTBroadcast — це рішення компанії ICT Innovations, призначене для автоматизації телефонних кампаній і управління дзвінками в кол-центрах. Через активне використання в бізнесі воно стало привабливою ціллю для хакерів, які прагнуть отримати віддалений контроль над комунікаційними системами.
Схожі експлойти з використанням cookie-ін’єкцій уже застосовувалися для атак на корпоративні сервери у 2024–2025 роках, зокрема проти телекомунікаційних операторів і фінансових установ. Цей випадок підтверджує тенденцію до зловживання легітимними сервісами для розгортання бекдорів і RAT-інструментів.
Вразливість CVE-2025-2611 демонструє, наскільки небезпечними можуть бути навіть незначні помилки в обробці cookie. Хакери все частіше комбінують старі техніки ін’єкцій із сучасними RAT-інструментами, щоб зберегти стійкий доступ до корпоративних мереж. Поки ICT Innovations не випустила оновлення, користувачам системи рекомендується тимчасово відключити публічний доступ і впровадити EDR-моніторинг.
