24 Ottobre 2025 12:53    Alert

Motex LanScope Endpoint Manager: vulnerabilità critica CVE-2025-61932 sfruttata in attacchi, RCE senza autenticazione su agenti on-prem

Motex LanScope Endpoint Manager (LEM), software molto diffuso in ambienti enterprise giapponesi e finanziari, è sotto attacco per la vulnerabilità CVE-2025-61932 (CVSS 9.3), presente in tutte le versioni on-premises precedenti alla 9.4.7.3 (client MR e detection agent DA).
Il difetto è una improper verification of the source of a communication channel: un aggressore remoto e non autenticato può inviare uno speciale pacchetto TCP (tipicamente porta 443, non richiede interazione utente) ai moduli agent MR/DA su endpoint vulnerabili, ottenendo esecuzione di codice arbitrario (RCE) e installazione di backdoor personalizzate o malware.
Almeno un cliente Motex colpito ed escluse le versioni cloud/SaaS dal rischio.

Le campagne di exploit sono confermate da CISA, JPCERT e Motex — con l’inserimento urgente nel catalogo KEV delle vulnerabilità più sfruttate a livello mondiale.
Tutte le installazioni con agent esposti su Internet sono considerate compromissibili, ma anche ambienti isolati sono a rischio se minati da un inside attacker.
Tra i settori maggiormente impattati compaiono banking, retail e manifatturiero, in particolar modo in Asia, ma la base installata ha diffusione globale.

Rimedi ed azioni consigliate:

  • Aggiornare immediatamente tutti i client MR e DA almeno a una delle versioni sicure:
    • 9.3.2.7, 9.3.3.9, 9.4.0.5, 9.4.1.5, 9.4.2.6, 9.4.3.8, 9.4.4.6, 9.4.5.4, 9.4.6.3, 9.4.7.3
  • Non è necessario aggiornare il server di management (manager).
  • Verificare i log per traffico sospetto su TCP 443 e tentativi di accesso da IP non noti
  • Segmentare la rete e limitare la raggiungibilità dalla WAN agli endpoint solo alle fonti autorizzate.
  • Non esistono workaround strutturali: non aggiornare espone a RCE anche senza interazione utente.


La catena d’attacco è stata rapidamente weaponizzata e include anche tentativi di persistenza avanzata e lateral movement. L’assenza di mitigazioni diverse dal patching rende l’update degli agent una priorità assoluta di security IT per ogni installazione LEM on-premises.

 

Fonti: ACN, RescanaBleepingcomputer