Ivanti sérülékenyégek
Az Ivanti Endpoint Manager Mobile (EPMM) rendszert érintő két súlyos sebezhetőséget, a CVE-2025-4427 és CVE-2025-4428 azonosítószámú hibákat, aktívan kihasználják a támadók. Ezek a sérülékenységek együtt lehetővé teszik a jogosulatlan távoli kódfuttatást (unauthenticated remote code execution, RCE) az érintett rendszereken.
A CVE-2025-4427 egy hitelesítési megkerülési hiba, amely lehetővé teszi a támadók számára, hogy hozzáférjenek az EPMM API-jához anélkül, hogy érvényes hitelesítő adatokkal rendelkeznének. Ez a hiba a Spring Security konfigurációjának hiányosságaira vezethető vissza, amelyek miatt bizonyos útvonalak nem igényelnek hitelesítést. A CVE-2025-4428 pedig egy távoli kódfuttatási sebezhetőség, amely az EPMM DeviceFeatureUsageReportQueryRequestValidator komponensében található. Ez a hiba az Expression Language (EL) nem biztonságos használatából ered, amely lehetővé teszi a támadók számára, hogy tetszőleges Java kódot hajtsanak végre a rendszerben. A két sebezhetőség láncolva lehetővé teszi a támadók számára, hogy hitelesítés nélkül távoli kódfuttatást érjenek el az érintett rendszereken.
A Wiz Threat Research megfigyelte, hogy a támadók aktívan kihasználják ezeket a sebezhetőségeket, és különböző technikákat alkalmaznak a támadások során. Például azonosítottak olyan eseteket, ahol a támadók Sliver beaconokat telepítettek a kompromittált rendszerekre, amelyek C2 (Command and Control) szerverekhez kapcsolódnak. Egy konkrét esetben a 77.221.158[.]154 IP-címet használták C2 szerverként, amelyet korábban más kampányokban is megfigyeltek.
Az EclecticIQ jelentése szerint a támadók, akiket UNC5221 néven ismernek, kihasználják ezeket a sebezhetőségeket, hogy hozzáférjenek az EPMM rendszerekhez, és érzékeny adatokat, például személyes azonosító információkat (PII), hitelesítő adatokat és egyéb érzékeny adatokat gyűjtsenek. Ezeket az adatokat későbbi támadásokhoz, például laterális mozgáshoz és további kompromittáláshoz használják fel.
Az Ivanti kiadott frissítéseket az érintett EPMM verziókhoz, és erősen ajánlja a felhasználóknak, hogy mielőbb alkalmazzák ezeket a javításokat. Az érintett verziók a következők: 11.12.0.4 és korábbi, 12.3.0.1 és korábbi, 12.4.0.1 és korábbi, valamint 12.5.0.0 és korábbi. A frissítésekkel kapcsolatos további információk az Ivanti hivatalos biztonsági tanácsadásában találhatók.
A támadások során a támadók különböző technikákat alkalmaznak, például Java Reflection segítségével hajtanak végre tetszőleges parancsokat a célrendszereken, vagy visszafordított shell-eket hoznak létre a rendszerek feletti irányítás megszerzése érdekében. Ezek a technikák lehetővé teszik számukra, hogy mélyebb hozzáférést szerezzenek a rendszerekhez, és további káros tevékenységeket hajtsanak végre.
A CISA (Cybersecurity and Infrastructure Security Agency) is felvette ezeket a sebezhetőségeket a Known Exploited Vulnerabilities (KEV) katalógusába, és sürgeti a szervezeteket, hogy haladéktalanul alkalmazzák a szükséges javításokat az érintett rendszereken.