Ivanti EPMM пострадал от двух активно эксплуатируемых уязвимостей нулевого дня

Пользователи Ivanti EPMM должны срочно устранить активно эксплуатируемые уязвимости нулевого дня (CVE-2025-4427, CVE-2025-4428), которые позволяют выполнять удаленный код с предварительной аутентификацией, предупреждает watchTowr.

Исследователи кибербезопасности из watchTowr поделились подробностями двух уязвимостей безопасности в программном обеспечении Ivanti Endpoint Manager Mobile (EPMM), обозначенных как CVE-2025-4427 и CVE-2025-4428, которые можно объединить для получения полного контроля над уязвимыми системами и которые активно используются злоумышленниками.

Ivanti EPMM — это система управления мобильными устройствами ( MDM ), имеющая решающее значение для безопасности предприятия, выступающая в качестве центральной точки для управления развертыванием программного обеспечения и применения политик на устройствах сотрудников. Однако вышеупомянутые недостатки превращают этот инструмент управления в потенциальную точку входа для злоумышленников. Анализ watchTowr, предоставленный Hackread.com, показывает, что эксплуатация этих уязвимостей на удивление проста.

Первая уязвимость, CVE-2025-4427, представляет собой уязвимость обхода аутентификации , которая позволяет злоумышленникам получать доступ к защищенным частям системы Ivanti EPMM без необходимости ввода надлежащих учетных данных для входа. Вторая уязвимость, CVE-2025-4428, представляет собой уязвимость удаленного выполнения кода (RCE), которая, если ее эксплуатировать, может позволить злоумышленникам запустить свой собственный вредоносный код на сервере.

Компания Ivanti сама признала серьезность этих проблем в сочетании, заявив, что «успешная эксплуатация может привести к неаутентифицированному удаленному выполнению кода». Они также сообщили об осведомленности об «очень ограниченном числе клиентов, которые были эксплуатированы» с момента раскрытия уязвимостей.

Это говорит о том, что, хотя атаки в настоящее время могут быть целенаправленными, они могут стать более масштабными. watchTowr отмечает, что как только такие целенаправленные атаки становятся публичными, злоумышленники обычно начинают массовую эксплуатацию, чтобы найти оставшиеся уязвимые системы.

Интересно, что Ivanti заявили, что уязвимости не находятся в их собственном коде, а «связаны с двумя библиотеками с открытым исходным кодом, интегрированными в EPMM». Они подчеркнули, что использование открытого исходного кода является стандартной практикой в ​​технологической отрасли.

watchTowr обнаружил уязвимость RCE ( CVE-2025-4428 ) в библиотеке hibernate-validator, позволяющую злоумышленникам внедрять вредоносный код через параметр под названием «format» в запросы API . watchtower успешно продемонстрировал эту уязвимость, отправив простой веб-запрос, который выполнил вычисление, доказав, что внедрение кода возможно. Более того, они могли выполнять системные команды, например, создавать файл на сервере.

Обход аутентификации ( CVE-2025-4427 ) — это проблема «порядка операций», а не традиционный обход. Сконструированный параметр «формата» в запросе к конечной точке /api/v2/featureusage_history запускает уязвимый процесс проверки перед проверкой аутентификации, позволяя неаутентифицированному злоумышленнику запустить уязвимость выполнения кода. Наличие параметра изменяет порядок обработки, устраняя необходимость предварительного входа в систему.

watchTowr успешно связал эти две уязвимости на сервере Ivanti EPMM, отправив специально созданный веб-запрос на конечную точку /rs/api/v2/featureusage с вредоносным параметром «format», что позволило им выполнять системные команды без входа в систему, тем самым создав предварительно аутентифицированный сценарий RCE.

Эти уязвимости представляют собой критический риск для организаций, использующих уязвимые версии. Исправления доступны для версий 11.12.0.5, 12.3.0.2, 12.4.0.2 и 12.5.0, и организациям, использующим старые неисправленные версии, рекомендуется немедленно обновиться