Selon VulnCheck, une campagne active exploite CVE-2025-2611, une vulnérabilité d’injection de commande non authentifiée dans le logiciel de call center ICTBroadcast, via le paramètre de cookie BROADCAST de login.php.

Les chercheurs décrivent une exploitation non authentifiée de la vulnérabilité d’injection de commande dans ICTBroadcast, visant environ 200 instances exposées. L’attaque se déroule en deux phases : d’abord des sondes temporelles (« sleep 3 ») pour confirmer l’exécution de commande, puis l’établissement de reverse shells vers l’adresse 143.47.53.106 et l’infrastructure localto.net.

Sur le plan technique, les attaquants injectent des charges utiles base64 via le cookie BROADCAST de login.php, utilisent ${IFS} comme substitution d’espace, puis décodent et exécutent via le shell. Les méthodes de reverse shell incluent : mkfifo + netcat, des connexions réseau basées sur awk, et des charges utiles Python compressées avec zlib. L’exploit s’appuie sur des utilitaires Linux standard, le rendant très portable sur les installations vulnérables.

Les indicateurs relevés lient cette activité à une campagne antérieure documentée utilisant l’infrastructure localto.net et des adresses IP spécifiques, suggérant une opération d’acteurs organisés ciblant les déploiements ICTBroadcast accessibles sur Internet.

IOC et TTPs observés 🧩

  • IOC
    • IP de C2 : 143.47.53.106
    • Infrastructure : domaines/relai liés à localto.net
  • TTPs
    • Vecteur : injection de commande via cookie BROADCAST dans login.php
    • Techniques : payloads base64, substitution ${IFS}, sondes temporelles « sleep 3 »
    • Établissement de C2 : mkfifo + netcat, awk, payloads Python compressés zlib

Type d’article : analyse de menace visant à documenter l’exploitation active, les TTPs et les IOC associés.

🧠 TTPs et IOCs détectés

TTPs

Injection de commande via cookie BROADCAST dans login.php, payloads base64, substitution ${IFS}, sondes temporelles ‘sleep 3’, établissement de C2 avec mkfifo + netcat, awk, payloads Python compressés zlib

IOCs

IP de C2: 143.47.53.106, Infrastructure: domaines/relai liés à localto.net

🔗 Source originale : https://www.vulncheck.com/blog/ictbroadcast-kev

🖴 Archive : https://web.archive.org/web/20251014201134/https://www.vulncheck.com/blog/ictbroadcast-kev