AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Crítica vulnerabilidad en ICTBroadcast permite ejecución remota de código: explotación activa detectada

admin

Introducción

En los últimos días, expertos en ciberseguridad han alertado sobre la explotación activa de una vulnerabilidad crítica en ICTBroadcast, un software de marcación automática (autodialer) ampliamente utilizado en entornos de call center y campañas de comunicación automatizadas. Identificada como CVE-2025-2611 y con una puntuación CVSS de 9,3, esta falla permite la ejecución remota de código sin autenticación previa, exponiendo a organizaciones de diversos sectores a compromisos graves de seguridad. El fabricante, ICT Innovations, ya ha sido notificado, pero la amenaza persiste debido a la rapidez con la que los atacantes están aprovechando el fallo.

Contexto del Incidente o Vulnerabilidad

ICTBroadcast es una solución de código abierto y comercial empleada por pymes y grandes empresas para gestionar campañas de llamadas automáticas, notificaciones masivas y telemarketing. La plataforma se integra frecuentemente en infraestructuras críticas de comunicación, lo que la convierte en un objetivo atractivo para actores maliciosos, desde cibercriminales hasta grupos de ransomware.

El descubrimiento y divulgación de CVE-2025-2611 se produce tras la detección de intrusiones en múltiples instalaciones del software en Europa y América del Norte, donde los atacantes lograron desplegar shells remotos y persistencia en los sistemas afectados. La vulnerabilidad se deriva de una validación inadecuada de entradas en el módulo principal de gestión de llamadas, permitiendo la inyección de comandos arbitrarios.

Detalles Técnicos

CVE-2025-2611 afecta a todas las versiones de ICTBroadcast lanzadas antes de la 4.4.2, tanto en sus variantes Community como Enterprise. El problema radica en la función de procesamiento de parámetros de campañas, donde no se sanitizan correctamente los datos recibidos vía HTTP POST hacia el endpoint `/admin/campaign/process`. Esto habilita la explotación mediante la inyección de payloads diseñados para ejecutar comandos del sistema operativo subyacente.

El vector de ataque más comúnmente observado corresponde a la técnica T1059 (Command and Scripting Interpreter) del framework MITRE ATT&CK, combinada con T1190 (Exploit Public-Facing Application). Los indicadores de compromiso (IoC) incluyen tráfico anómalo hacia los endpoints de administración, creación de archivos desconocidos en `/var/www/html/ictbroadcast/tmp/` y conexiones salientes hacia C2 (Command & Control) externos.

Investigadores han documentado el uso de frameworks como Metasploit para el desarrollo de exploits funcionales, así como la integración posterior de Cobalt Strike para el movimiento lateral y la persistencia. En los foros de hacking y canales de Telegram, circulan ya módulos de explotación listos para su uso, lo que incrementa el riesgo de ataques automatizados a gran escala.

Impacto y Riesgos

La explotación de CVE-2025-2611 permite a un atacante remoto ejecutar cualquier comando con los privilegios del usuario bajo el que corre el servicio web de ICTBroadcast, habitualmente `www-data` o su equivalente. Las consecuencias más probables incluyen:

– Despliegue de ransomware y cifrado de sistemas.
– Robo de bases de datos de clientes y registros de llamadas, con potencial impacto en la privacidad y cumplimiento normativo (GDPR).
– Utilización de la infraestructura comprometida para ataques de spam o campañas de phishing.
– Persistencia y pivotaje hacia otras partes de la red corporativa.

Se estima que decenas de miles de instalaciones en todo el mundo podrían estar expuestas, especialmente aquellas accesibles desde Internet y no protegidas por firewalls o segmentación adecuada.

Medidas de Mitigación y Recomendaciones

ICT Innovations ha publicado la versión 4.4.2 de ICTBroadcast, que corrige la vulnerabilidad mediante una validación reforzada de los parámetros de entrada y controles adicionales en la gestión de sesiones. Se recomienda encarecidamente:

– Actualizar a la versión 4.4.2 o superior de inmediato.
– Revisar los logs de acceso y operación en busca de señales de explotación (consultar IoC proporcionados por los investigadores).
– Implementar reglas de firewall para restringir el acceso al panel de administración exclusivamente a direcciones IP de confianza.
– Utilizar autenticación multifactor para todos los accesos administrativos.
– Realizar un escaneo de integridad en los sistemas afectados y, de detectarse compromiso, proceder a la restauración de copias de seguridad verificadas.

Opinión de Expertos

Juan Manuel Gutiérrez, analista de amenazas en un CSIRT europeo, señala: “La exposición de aplicaciones de gestión de campañas a Internet sin controles robustos es un vector clásico de ataque que seguimos viendo demasiado a menudo. La velocidad con la que los exploits han aparecido en la red tras la publicación del CVE demuestra la sofisticación y organización de los actores maliciosos.”

Por su parte, Laura Prieto, consultora de cumplimiento en GDPR y NIS2, advierte: “Para empresas que tratan datos personales a gran escala, una brecha derivada de esta vulnerabilidad puede desencadenar sanciones significativas bajo el RGPD y la futura directiva NIS2, además del daño reputacional.”

Implicaciones para Empresas y Usuarios

El incidente pone de manifiesto la importancia crítica de la gestión proactiva de vulnerabilidades en software de comunicaciones. Las empresas deben revisar no solo la actualización de sus sistemas, sino también las políticas de exposición a Internet y la formación de sus equipos en la identificación de ataques dirigidos a aplicaciones específicas. El cumplimiento de la normativa europea, que exige medidas técnicas y organizativas adecuadas, se convierte en una obligación ineludible ante la sofisticación creciente de las amenazas.

Conclusiones

La explotación activa de CVE-2025-2611 en ICTBroadcast subraya la necesidad de una vigilancia constante, respuestas rápidas de parcheo y una defensa en profundidad para proteger infraestructuras críticas de comunicación. La colaboración entre fabricantes, investigadores y usuarios es esencial para minimizar el riesgo y evitar incidentes de gran impacto económico y regulatorio.

(Fuente: feeds.feedburner.com)