Ivanti EPMM, Aktif Olarak Kullanılan İki 0day Güvenlik Açığı Tarafından Etkilendi

watchTowr, Ivanti EPMM kullanıcılarının önceden kimlik doğrulamalı uzaktan kod yürütmeye olanak tanıyan, aktif olarak istismar edilen 0 günlük güvenlik açıklarına (CVE-2025-4427, CVE-2025-4428) karşı acilen yama yapmaları gerektiği konusunda uyarıyor.

watchTowr'daki siber güvenlik araştırmacıları, Ivanti Endpoint Manager Mobile (EPMM) yazılımındaki CVE-2025-4427 ve CVE-2025-4428 olarak tanımlanan iki güvenlik açığının ayrıntılarını paylaştı. Bu açıklar, etkilenen sistemler üzerinde tam kontrol sağlamak için birleştirilebiliyor ve saldırganlar tarafından aktif olarak istismar ediliyor.

Ivanti EPMM, kurumsal güvenlik için kritik öneme sahip bir Mobil Cihaz Yönetimi ( MDM ) çözüm sistemidir ve yazılım dağıtımını kontrol etmek ve çalışan cihazlarında politikaları uygulamak için merkezi bir nokta görevi görür. Ancak, yukarıda belirtilen kusurlar bu yönetim aracını kötü niyetli aktörler için potansiyel bir giriş noktasına dönüştürüyor. Hackread.com ile paylaşılan watchTowr'ın analizi , bu güvenlik açıklarından yararlanmanın şaşırtıcı derecede basit olduğunu gösteriyor.

İlk güvenlik açığı, CVE-2025-4427, saldırganların uygun oturum açma kimlik bilgilerine ihtiyaç duymadan Ivanti EPMM sisteminin korunan bölümlerine erişmesine izin veren bir kimlik doğrulama atlama açığıdır . İkinci güvenlik açığı, CVE-2025-4428, istismar edilirse saldırganların sunucuda kendi kötü amaçlı kodlarını çalıştırmalarına izin verebilen bir uzaktan kod yürütme (RCE) açığıdır.

Ivanti, bu sorunlar bir araya geldiğinde ciddiyetini kabul ederek, "başarılı bir istismarın kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabileceğini" belirtti. Ayrıca, güvenlik açıklarının ifşa edilmesinden bu yana "sömürülen çok sınırlı sayıda müşteri" olduğunun farkında olduklarını bildirdiler.

Bu, saldırıların şu anda hedefli olsa da daha yaygın hale gelebileceğini gösteriyor. watchTowr, bu tür hedefli saldırılar kamuoyuna duyurulduğunda, saldırganların kalan savunmasız sistemleri bulmak için kitlesel istismara başvurmasının yaygın olduğunu belirtiyor.

İlginçtir ki Ivanti, güvenlik açıklarının kendi kodlarında olmadığını, "EPMM'ye entegre edilmiş iki açık kaynaklı kütüphaneyle ilişkili" olduğunu belirtti. Açık kaynaklı kod kullanmanın teknoloji sektöründe standart bir uygulama olduğunu vurguladılar.

watchTowr, hibernate-validator kütüphanesinde bir RCE güvenlik açığı ( CVE-2025-4428 ) keşfetti ve saldırganların API isteklerinde "format" adlı bir parametre aracılığıyla kötü amaçlı kod enjekte etmesine izin verdi. watchtower, bir hesaplamayı yürüten basit bir web isteği göndererek bu güvenlik açığını başarıyla gösterdi ve kod enjeksiyonunun mümkün olduğunu kanıtladı. Dahası, sunucuda bir dosya oluşturmak gibi sistem komutlarını çalıştırabilirlerdi.

Kimlik doğrulama atlama ( CVE-2025-4427 ), geleneksel bir atlamadan ziyade bir "işlem sırası" sorunudur. /api/v2/featureusage_history uç noktasına yapılan bir istekteki hazırlanmış bir "format" parametresi, kimlik doğrulama kontrolünden önce savunmasız doğrulama sürecini tetikler ve kimliği doğrulanmamış bir saldırganın kod yürütme güvenlik açığını tetiklemesine olanak tanır. Parametrenin varlığı, işlem sırasını değiştirir ve önce oturum açma gereksinimini ortadan kaldırır.

watchTowr /rs/api/v2/featureusage uç noktasına kötü amaçlı bir "format" parametresiyle hazırlanmış bir web isteği göndererek Ivanti EPMM sunucusundaki bu iki güvenlik açığını başarıyla zincirledi ve böylece oturum açmadan sistem komutlarını yürütmelerine izin verdi ve böylece önceden kimliği doğrulanmış bir RCE senaryosu oluşturdu.

Bu güvenlik açıkları, etkilenen sürümleri kullanan kuruluşlar için kritik bir risk oluşturmaktadır. 11.12.0.5, 12.3.0.2, 12.4.0.2 ve 12.5.0 sürümleri için yamalar mevcuttur ve eski yama uygulanmamış sürümleri kullanan kuruluşların derhal güncellemeleri önerilir