.png)
- Sadržaj
CISA je objavila detalje o dvije zlonamjerne komponente koje su napadači postavili na Ivanti Endpoint Manager Mobile poslužitelj nakon iskorištavanja niza ranjivosti CVE-2025-4427 i CVE-2025-4428. Ranjivosti su lančane za neautentificirano RCE i aktivno su korištene u stvarnim napadima prije nego što su zakrpe izdane u svibnju 2025.
- Detalji
Riječ je o povezanom paru propusta u Ivanti Endpoint Manager Mobile koji napadači lančaju kako bi postigli neautentificirano udaljeno izvršavanje koda na EPMM poslužitelju. CVE-2025-4427 predstavlja zaobilaženje autentikacije u EPMM API sloju pa omogućuje pristup zaštićenim resursima bez valjanih vjerodajnica. Nakon toga slijedi CVE-2025-4428 koji uvodi mogućnost injekcije koda kroz isti API i time daje napadaču sposobnost izvršavanja proizvoljnih naredbi pod kontekstom EPMM aplikacije. Kombinacijom ova dva koraka protivnik bez prijave dolazi do RCE i uspostavlja početno uporište.
CISA navodi da su nakon javne dostupnosti dokaza koncepta sredinom svibnja 2025 zabilježeni stvarni napadi u kojima je protivnik prvo ispitao sustav osnovnim komandama radi inventure okoline zatim preuzeo i učitao dodatne artefakte te krenuo u šire izviđanje poput mapiranja mreže i dohvaćanja LDAP vjerodajnica. Tijekom analiza pronađena su dva srodna seta zlonamjernih datoteka smještenih u privremeni direktorij na poslužitelju koji služe kao loader i takozvani listener za trajnost u Apache Tomcat okruženju. Učitač web install jar dinamički ubacuje klase poput ReflectUtil i SecurityHandlerWanListener odnosno WebAndroidAppInstaller koje registriraju vlastite HTTP osluškivače.
Kada napadač pošalje posebno oblikovan zahtjev listener dešifrira parametre generira novu klasu u memoriji i izvršava zadane funkcije čime omogućuje daljnje preuzimanje alata izvođenje naredbi te održavanje pristupa i nakon restarta servisa. Ivanti je u svibnju 2025 objavio zakrpe za podržane grane primjerice 11.12 12.3 12.4 i 12.5 a u vrijeme izdavanja bilješki zabilježena je ograničena eksploatacija. Unatoč tomu CISA naglašava da se kompromitirani EPMM treba smatrati sustavom visoke vrijednosti jer sadrži osjetljive integracije i pristupe pa svaka detekcija navedenih artefakata zahtijeva izolaciju poslužitelja rotaciju vjerodajnica i cjelovitu digitalnu forenziku s provjerom Tomcat konfiguracije i web aplikacijskih direktorija.
- Preporuka
• Odmah ažurirati sve EPMM on-prem instance na verzije koje ispravljaju CVE-2025-4427/4428 prema Ivanti uputama; onemogućiti javni pristup administrativnim API završecima i ograničiti pristup IP filtriranjem ili WAF-om.
• Pregledati poslužitelje za IOC-eve iz CISA MAR-a i CISA-inih YARA/SIGMA pravila; posebno tražiti gore navedene klase i artefakte u /tmp te anomalije u Tomcat listenerima.
• Rotirati LDAP i lokalne administratorske vjerodajnice, provjeriti integritet konfiguracije i evidencije, te izolirati sustave s indikacijama kompromitacije.
• Tretirati MDM sustave kao “high-value asset”: pojačano praćenje, stroge kontrole pristupa, redovite revizije izloženih API-ja i brza primjena zakrpa.
- Reference
• CISA alert: Malware Analysis Report za Ivanti EPMM, https://www.cisa.gov/news-events/alerts/2025/09/18/cisa-releases-malware-analysis-report-malicious-listener-targeting-ivanti-endpoint-manager-mobile
• NVD zapisi: CVE-2025-4427 https://nvd.nist.gov/vuln/detail/CVE-2025-4427 i CVE-2025-4428 https://nvd.nist.gov/vuln/detail/CVE-2025-4428
// Newsletter //
Prijava na newsletter
Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.
.png)
.png)