Ivanti EPMM sérülékenységek
A CISA jelentése ismerteti az Ivanti EPMM mobil-eszköz-menedzsment rendszer két kritikus sebezhetőségét (CVE-2025-4427, hitelesítés megkerülése, és CVE-2025-4428, kódinjektálás), melyeket májusban javítottak. A fenyegetők a végpontot célozták HTTP GET kéréseken keresztül, ?format=paraméterrel küldtek rosszindulatú kódot, így hozzáférést szereztek a szerverhez. Ezt követően információt gyűjtöttek, fájlokat töltöttek le, LDAP-hitelesítő adatokat csentek, és akár parancsokat futtattak, hogy root szintű jogosultságot biztosítsanak maguknak.
A malware-minták két csoportra oszlanak: mindkettő tartalmaz egy loader részt, amelyet JAR fájl formájában telepítenek, és egy “malicious listener” komponenst, amely Tomcat szervereken hallgat HTTP kéréseket. Az egyik variánsban a ReflectUtil.class injektálja a SecurityHandlerWanListener osztályt, a másikban a WebAndroidAppInstaller.class nevű komponens dolgozik, amely lekéri, dekódolja és futtatja az újonnan betöltött osztályokat.
Az adatszivárgás, jogosultságnövelés és tetszőleges kódfuttatás lehetősége mellett a jelentés különösen hangsúlyozza, hogy az Ivanti EPMM verzióinak naprakészen tartása kritikus fontosságú. A jelentés arra ösztönzi a szervezeteket, hogy az EPMM rendszereiket kezeljék mint magas értékű eszközöket, fokozott biztonsági intézkedésekkel és monitoringgal. Továbbá alkalmazzák a CISA által publikált Indicators of Compromise (IOC) és szabályokat (YARA, SIGMA), hogy minél előbb felismerjék az ilyen támadás jeleit, és szükség esetén járjanak el incidenskezelési tervük és helyreállítási protokolljaik alapján.
