Motex Lanscope Endpoint Manager’ın yerel sürümlerinde bulunan kritik bir güvenlik açığı, CISA tarafından Aktif Olarak Kullanılan Bilinen Açıklar (KEV) listesine dahil edildi. CVE-2025-61932 kodlu bu zafiyet, özellikle MCP istemcisi ve tespit ajanı bileşenlerini hedef alarak, saldırganların hedef sistemlerde rastgele kod çalıştırmasına olanak tanıyor.

Açığın Teknik Detayları ve Etkilediği Sürümler

CVSS v4 skoru 9.3 olan bu güvenlik açığı, Lanscope Endpoint Manager’ın 9.4.7.1 ve önceki sürümlerinde bulunuyor. Saldırganlar, iletişim kanalının kaynağını doğrulamayan protokol zafiyetini kullanarak özel hazırlanmış paketler gönderiyor. Bu durum, özellikle konteyner tabanlı ortamlarda rastgele açılan SSH portları gibi ek saldırı yüzeyleriyle birleştiğinde, sistemlerin kontrolünü tamamen ele geçirme riski taşıyor. Pydantic AI ve AsyncRAT gibi gelişmiş kötü amaçlı yazılımların benzer teknikleri kullanması, bu açığın önemini artırıyor.

Gerçek Dünya Saldırıları ve Tavsiyeler

Japonya Güvenlik Açığı Notları (JVN) portalı, Motex’in ismi açıklanmayan bir müşterisinin bu açığı hedef alan kötü amaçlı paketler aldığını doğruladı. JPCERT/CC ise Nisan 2025 sonrası yerel müşteri ortamlarında yetkisiz paketlerin alındığını rapor etti. Saldırılarda ele geçirilen sistemlere arka kapı bırakıldığı tespit edildi. Bu nedenle, Federal Sivil Yürütme Dalları (FCEB) ajanslarının 12 Kasım 2025 tarihine kadar ilgili yamaları uygulaması kritik önem taşıyor.

Uzmanlar, Lanscope Endpoint Manager kullanıcılarının güncellemeleri ivedilikle yapmalarını ve ağ trafiğini anormal paketlere karşı izlemelerini öneriyor. Ayrıca, MCP istemcisi ve tespit ajanlarının davranış analizi ile saldırı tespit sistemlerinin güçlendirilmesi tavsiye ediliyor.