ICTBroadcast’ta Kimlik Doğrulamasız Komut Enjeksiyonu
ICTBroadcast 7.4 ve önceki sürümlerinde bulunan CVE-2025-2611 (CVSS 9.3) numaralı güvenlik açığı, çağrı merkezi uygulamasının oturum çerezlerini kabuk komutlarına dönüştürürken yetersiz doğrulama yapması nedeniyle uzaktan kod çalıştırmaya olanak tanıyor. Saldırganlar, BROADCAST adlı oturum çerezine Base64 formatında “sleep 3” gibi komutlar enjekte ederek hedef sunucularda kabuk işlemleri başlatabiliyor.
Saldırı Aşamaları ve Gerçek Dünya İstismarı
VulnCheck’ten Jacob Baines’in açıklamasına göre, saldırılar iki aşamada gerçekleşiyor: önce zaman tabanlı istismar kontrolü, ardından ters kabuk bağlantıları kuruluyor. Saldırganlar mkfifo ve netcat (nc) araçlarını kullanarak localto[.]net URL’si üzerinden ve 143.47.53[.]106 IP adresine bağlantılar gerçekleştiriyor. Bu göstergeler, Fortinet tarafından İspanya, İtalya ve Portekiz’deki hedeflere yönelik Java tabanlı Ratty RAT dağıtımıyla ilişkilendirilen e-posta kampanyalarıyla örtüşüyor.
Durum ve Tavsiyeler
Yaklaşık 200 çevrimiçi ICTBroadcast örneğinin savunmasız olduğu tespit edildi. Şu an için resmi bir yama yayımlanmadı; ICT Innovations ile iletişim sürüyor. Siber güvenlik uzmanlarının bu açığı takip etmeleri ve etkilenen sistemlerde önlem almaları önem taşıyor.