CISA ostrzega: krytyczna luka w LanScope Endpoint Manager aktywnie wykorzystywana (CVE-2025-61932)

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) nowy wpis dotyczący LanScope Endpoint Manager (on-premises) firmy MOTEX. Luka CVE-2025-61932 umożliwia zdalne wykonanie kodu (RCE) na stacjach końcowych poprzez „nieprawidłową weryfikację źródła kanału komunikacyjnego” (CWE-940). Producent potwierdził, iż w środowiskach klientów odnotowano już nieautoryzowane pakiety z zewnątrz, co wskazuje na realne próby nadużycia.

W skrócie

• ID luki: CVE-2025-61932; CVSS 4.0: 9.3, CVSS 3.0: 9.8 (krytyczna).
• Dotyczy: LanScope Endpoint Manager On-Premises – komponenty Client (MR) i Detection Agent (DA); wersje 9.4.7.1 i wcześniejsze. Wersja chmurowa nie jest podatna.
• Status: luka aktywnie wykorzystywana; wpis w CISA KEV (obowiązek szybkiej remediacji dla agencji federalnych USA).
• Producent udostępnił poprawki; aktualizacja wymagana na klientach/agentach, bez konieczności podnoszenia wersji „managera”.
• Termin dla FCEB (USA): rekomendowana data remediacji 12 listopada 2025 r. (wg doniesień prasowych).

Kontekst / historia / powiązania

LanScope (MOTEX, spółka z grupy Kyocera) jest szeroko wykorzystywany do inwentaryzacji i nadzoru stacji w regionie APAC, zwłaszcza w Japonii. JVN/JPCERT opublikowały notę o podatności tego samego dnia, co producent, potwierdzając wczesne sygnały ataków w środowiskach krajowych. Wcześniejsze lata notowały słabsze wagi podatności w produktach MOTEX, ale CVE-2025-61932 to pełnoprawny RCE bez uwierzytelnienia – krytyczny scenariusz podobny do wielu ostatnich fal masowych exploitów w oprogramowaniu do zarządzania stacjami.

Analiza techniczna / szczegóły luki

• Klasa błędu: Improper Verification of Source of a Communication Channel (CWE-940). Mechanizm komunikacji przyjmuje pakiety z niezweryfikowanego źródła jako zaufane, co umożliwia atakującemu przesłanie specjalnie przygotowanych pakietów skutkujących wykonaniem dowolnego kodu.
• Wektory ataku: sieć (AV:N), niska złożoność (AC:L), brak wymagań dot. uprawnień (PR:N) i interakcji użytkownika (UI:N) – zgodnie z ocenami CVSS 3.0/4.0. To oznacza, iż eksploatacja jest możliwa zdalnie i masowo.
• Zakres komponentów: wyłącznie Client (MR) i Detection Agent (DA) po stronie endpointów; instancja „managera” nie wymaga aktualizacji.

Praktyczne konsekwencje / ryzyko

• Przejęcie stacji końcowych: zdalne RCE na hostach z agentem umożliwia instalację backdoorów, eskalację uprawnień lokalnych, ruch boczny i kradzież danych.
• Skala zagrożenia: CISA klasyfikuje CVE jako aktywnie wykorzystywane – organizacje wystawiające agentów lub ich porty na niezaufowane sieci są w strefie najwyższego ryzyka.
• Rynek/region: media branżowe raportują, iż pierwsze przypadki i obserwacje napływają z Japonii (główna baza użytkowników), co zwiększa prawdopodobieństwo szybkiej eskalacji globalnej poprzez skanowanie Internetu.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja agentów na wszystkich stacjach do jednej z wersji zawierających poprawkę:
   9.3.2.7, 9.3.3.9, 9.4.0.5, 9.4.1.5, 9.4.2.6, 9.4.3.8, 9.4.4.6, 9.4.5.4, 9.4.6.3, 9.4.7.3. (Wersje 9.4.7.1 i starsze są podatne). Nie ma potrzeby aktualizowania „managera”.
2. Priorytetyzacja floty: zacznij od stacji z dostępem zdalnym/VPN oraz urządzeń w segmentach o podwyższonych uprawnieniach. (dobre praktyki ogólne)
3. Tymczasowe zabezpieczenia do czasu patchowania:
   • Ogranicz ekspozycję sieciową kanałów komunikacji agentów do zaufowanych podsieci/VPN.
   • Filtruj/monitoruj nietypowy ruch przychodzący do procesów MR/DA oraz wzorce „nietypowych pakietów” wskazywane przez producenta/JVN.
4. Hunting i detekcja:
   • Szukaj nowych/nieautoryzowanych procesów potomnych agenta, anomalii w narzędziach zdalnego dostępu, zmian w autostarcie i nowych kontach lokalnych. (praktyka oparta na wzorcach RCE)
   • Koreluj alerty z timeline’em od 20 października 2025 r. (data publikacji producenta/JVN).
5. Zgodność i terminy: jeżeli podlegasz wymogom FCEB/KEV – zaplanuj remediację do 12 listopada 2025 r.; dla innych organizacji rekomendowane „ASAP”.
6. Komunikacja z biznesem: poinformuj właścicieli systemów o ryzyku przerwy w pracy podczas aktualizacji agenta oraz zapewnij okna serwisowe.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W przeciwieństwie do wielu ostatnich podatności w narzędziach EDR/EMM, CVE-2025-61932 uderza w komponenty klienckie, a nie w serwer/manager. To oznacza konieczność szerokiej dystrybucji aktualizacji na końcówkach, co bywa logistycznie trudniejsze, ale jednocześnie ogranicza ryzyko pojedynczego punktu kompromitacji (centralny serwer). Brak wymogu aktualizacji „managera” upraszcza change-management po stronie serwera.

Podsumowanie / najważniejsze wnioski

• Krytyczna luka RCE (CVE-2025-61932) w LanScope Endpoint Manager jest już wykorzystywana – nie czekaj na PoC.
• Patchuj agentów (MR/DA) do wersji naprawionych – lista powyżej – manager bez zmian.
• Zredukuj ekspozycję sieciową, wdroż monitoring i polowania na oznaki kompromitacji.
• Dla podmiotów objętych KEV – deadline 12.11.2025; pozostali: działaj natychmiast.

Źródła / bibliografia

• BleepingComputer: „CISA warns of Lanscope Endpoint Manager flaw exploited in attacks”. (BleepingComputer)
• CISA KEV – wpis dla CVE-2025-61932. (cisa.gov)
• MOTEX (producent) – „[重要なお知らせ]… Remote Code Execution… (CVE-2025-61932)”, 20.10.2025. (motex.co.jp)
• JVN/JPCERT – „JVN#86318557: Lanscope Endpoint Manager (On-Premises) vulnerable to…”, 20–21.10.2025. (jvn.jp)
• NVD – rekord CVE-2025-61932 (opis techniczny/CVSS). (NVD)
• (Kontekst terminów): The Hacker News – „Critical Lanscope Endpoint Manager Bug…”, 23.10.2025. (The Hacker News)