Säkerhetsforskare har upptäckt riktade attacker som utnyttjade en sårbarhet i Lanscope som en zero-day, vilket gav Kina-länkade hackare möjlighet att ta sig in i nätverk och installera skräddarsydda bakdörrar. Kampanjen riktades mot organisationer som använder Motex Lanscope Endpoint Manager och visar tydligt hur stora risker föråldrad och oskyddad företagsmjukvara innebär. Sårbarheten gav administrativ åtkomst utan autentisering, vilket öppnade för fullständig systemkontroll.
Sårbarhetsöversikt
Sårbarheten påverkar äldre versioner av Lanscope Endpoint Manager. Den gör det möjligt att köra kod på distans via manipulerade förfrågningar som helt kringgår autentisering. När exploateringen lyckas får angriparen fulla SYSTEM-behörigheter. Det innebär kontroll över enheten, möjlighet till lateral rörelse och insyn i interna nätverk.
Leverantören släppte en patch kort efter att attackerna uppdagades. Analys visar dock att angreppen startade flera dagar innan uppdateringen fanns tillgänglig, vilket understryker hur snabbt hotaktörer agerar när de hittar en kritisk sårbarhet.
Vem som ligger bakom attackerna
Undersökningen kopplar intrången till den kinesiska statsknutna gruppen Tick, även känd som Bronze Butler. Gruppen är känd för att rikta sig mot företag och organisationer i Asien och globalt, med fokus på långsiktig åtkomst, underrättelseinhämtning och låg upptäcktsrisk.
I denna kampanj använde de Lanscope-felet för att installera Gokcpdoor, en specialbyggd bakdörr. Den möjliggör dold kommunikation och fjärrstyrning. Nya versioner av Gokcpdoor har förbättrade multiplex-funktioner och använder andra kommunikationsprotokoll än tidigare. Angriparna använde även sideloading tillsammans med legitima programfiler för att undvika upptäckt.
Så gick attackerna till
Intrångsmetoden följde en välkänd kedja: utnyttja sårbarheten, droppa en laddare, aktivera bakdörren och starta kommandokontroll. När angriparna väl fått åtkomst kunde de skapa dolda ingångar, övervaka nätverkstrafik och föra ut känslig data.
Eftersom bakdörren maskerar sig som legitima processer kan den vara svår att upptäcka utan specifik jakt. Analytiker har sett hemliga kommandokanaler, förklädda schemalagda jobb och trafik via högriskportar avsedd för dold kommunikation.
Åtgärder för organisationer
Organisationer som använder Lanscope bör agera omedelbart. Rekommenderade steg:
- Installera den senaste patchen omedelbart
- Inventera alla Lanscope-installationer i nätverket
- Kontrollera schemalagda jobb och administratörskonton
- Sök efter okända binärer och sideloadade moduler
- Granska loggar för ovanlig utgående trafik
- Begränsa åtkomst till administrationsgränssnitt
- Segmentera hanteringssystem från publika nätverk
En omstart efter patchning hjälper till att ta bort skadlig kod som bara ligger i minnet, men fungerar endast om angriparna inte längre kan utnyttja sårbarheten.
Slutsats
Lanscope-sårbarheten visar hur snabbt avancerade aktörer slår till när de hittar en värdefull öppning. Med åtkomst utan inloggning och full systemkontroll utgjorde felet ett allvarligt hot för organisationer med äldre versioner av plattformen. Snabb patchning, logggranskning och nätverkssegmentering är avgörande för att stoppa attackerna och förhindra långvarig kompromettering. Proaktivt säkerhetsarbete minskar risken för att angripare kan etablera uthållighet och expandera obemärkt i nätverket.
0 svar till ”Lanscope-sårbarhet utnyttjad som zero-day i riktade attacker”