A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre a CVE-2025-61932, uma vulnerabilidade crítica de execução remota de código (RCE) no Motex Lanscope Endpoint Manager. Com uma pontuação de 9.3 (Crítica) no sistema CVSS, a falha já está sendo explorada ativamente por agentes maliciosos, elevando a urgência para administradores de sistema e equipes de segurança em todo o mundo.
O alerta da CISA inclui a CVE-2025-61932 em seu catálogo KEV (Known Exploited Vulnerabilities), uma lista de vulnerabilidades comprovadamente exploradas. O objetivo deste artigo é detalhar os riscos, os sistemas afetados e, principalmente, orientar sobre as ações imediatas de correção, garantindo a proteção de endpoints e infraestruturas críticas.
Embora o Motex Lanscope Endpoint Manager seja mais popular no Japão e na Ásia, ele também é listado na AWS, aumentando o alcance potencial da exploração. Profissionais de TI devem tratar essa vulnerabilidade como uma prioridade máxima de segurança.
O que é o CVE-2025-61932?
A CVE-2025-61932 é uma falha de execução remota de código (RCE) que permite a invasores não autenticados executar comandos arbitrários em sistemas afetados. A vulnerabilidade origina-se de uma verificação incorreta da origem das solicitações recebidas, o que possibilita que pacotes especialmente manipulados contornem a segurança do software.
No contexto desta vulnerabilidade, o RCE significa que um atacante pode obter controle total sobre os endpoints, executar scripts maliciosos, roubar dados ou comprometer a integridade do sistema de forma silenciosa. Isso torna a falha especialmente perigosa, pois não exige credenciais ou interação do usuário.
O software afetado é o Motex Lanscope Endpoint Manager, uma solução de gerenciamento de endpoints e segurança desenvolvida pela Motex, subsidiária da Kyocera. O produto inclui componentes de cliente, como o MR e o Detection Agent (DA), que são diretamente impactados pela vulnerabilidade.
Exploração ativa confirmada
A Motex confirmou que a falha está sendo explorada em ambientes de clientes, caracterizando-a como um zero-day. Relatórios indicam que pacotes maliciosos foram recebidos e executados em sistemas vulneráveis, sem necessidade de autenticação.
O JPCERT, centro de coordenação de incidentes do Japão, também confirmou ter recebido notificações de ataques direcionados a organizações nacionais, reforçando a gravidade da situação e a disseminação da exploração.
Correção imediata: versões afetadas e atualizações
Não há mitigações parciais ou alternativas eficazes para esta vulnerabilidade. A única solução confiável é atualizar os agentes afetados nos endpoints.
É importante destacar que a falha impacta o lado do cliente, ou seja, administradores não precisam atualizar o servidor central do Lanscope Endpoint Manager, mas devem atualizar todos os agentes MR e DA imediatamente.
Versões afetadas
- Lanscope Endpoint Manager versões 9.4.7.2 e anteriores.
Versões corrigidas
As atualizações que corrigem a falha são:
- 9.3.2.7
- 9.4.3.8
- 9.3.3.9
- 9.4.4.6
- 9.4.0.5
- 9.4.5.4
- 9.4.1.5
- 9.4.6.3
- 9.4.2.6
- 9.4.7.3
Administradores devem garantir que todos os endpoints estejam executando uma dessas versões corrigidas imediatamente.
Por que o alerta da CISA (KEV) é importante
O catálogo KEV da CISA não é apenas uma lista de vulnerabilidades, mas um registro de falhas comprovadamente exploradas em ataques reais. A inclusão da CVE-2025-61932 indica que a ameaça é ativa e prioritária.
A CISA definiu o prazo de 12 de novembro para que agências federais dos EUA apliquem a correção, conforme a Diretiva BOD 22-01. Embora essa obrigação se aplique somente a entidades federais, o alerta funciona como um padrão global: todas as organizações, públicas ou privadas, devem tratar a correção como prioridade máxima.
Conclusão: ação urgente necessária
A CVE-2025-61932 representa uma falha crítica de RCE (9.3), não requer autenticação e está sendo explorada ativamente. O risco para sistemas afetados é elevado, incluindo comprometimento total de endpoints e potencial acesso a dados sensíveis.
A recomendação é clara: administradores que utilizam o Motex Lanscope Endpoint Manager devem atualizar imediatamente os agentes MR e DA para as versões corrigidas. A procrastinação nesta correção pode resultar em compromissos de segurança graves e ataques direcionados.
A urgência é real, e a ação imediata é a única forma de reduzir o risco dessa vulnerabilidade crítica em suas operações.
