CISA har afsløret, at angribere har distribueret Ivanti EPMM-malwarekits, der udnytter nyligt patchede sårbarheder. Sårbarhederne, CVE-2025-4427 og CVE-2025-4428, muliggør autentificeringsomgåelse og kodeinjektion. Trusselsaktører har udnyttet dem siden maj ved at angribe systemer, hvor API’erne fortsat var sårbare.
Hvad sårbarhederne er
De to sårbarheder påvirker Ivanti Endpoint Manager Mobile (EPMM) i versionerne 11.12.0.4, 12.3.0.1, 12.4.0.1 og 12.5.0.0. CVE-2025-4427 giver angribere mulighed for at omgå autentificering i EPMM’s API-komponent. CVE-2025-4428 gør det muligt at injicere og udføre vilkårlig kode. Selvom Ivanti frigav patches i maj, forblev nogle kunder ubeskyttede og eksponerede.
Hvordan angriberne brugte malwarekits
Trusselsaktører sendte ondsindede forespørgsler til endpointet /mifs/rs/api/v2/ via HTTP GET-anmodninger, hvor parameteren format= blev brugt til at levere fjernkommandoer. Angriberne delte de ondsindede komponenter op i Base64-kodede segmenter. Disse malwarekits inkluderede lastere som web-install.jar, lytterklasser (f.eks. SecurityHandlerWanListener, ReflectUtil.class), der håndterede persistens og dataeksfiltrering. CISA analyserede to forskellige sæt malware, som begge fungerede på samme måde.
Trusselsaktører og tidslinje
En Kina-tilknyttet spionagegruppe menes at have begyndt at udnytte disse sårbarheder omkring midten af maj 2025. Forskere fandt, at gruppen havde indgående kendskab til Ivanti EPMM’s interne funktioner. De genbrugte legitime systemfunktioner til at indsamle legitimationsoplysninger, kortlægge netværk og hente følsomme filer. Selvom CISA ikke bekræfter attribution i detaljer, peger tekniske beviser i den retning.
Risiko for organisationer
Mange organisationer bruger EPMM-løsninger til håndtering af mobile enheder og endpoints. Et eksponeret API-endpoint med disse sårbarheder udgør en risiko for fjernkontrol. Angribere kan bruge malwarekits til at eksfiltrere data, etablere persistens eller bevæge sig lateralt i netværk. Uopdaterede systemer eller dem med eksponerede grænseflader er i særlig fare.
Hvad forsvarere bør gøre
Administratorer bør straks tage følgende skridt:
- Patch de berørte Ivanti EPMM-versioner (11.12.0.4, 12.3.0.1, 12.4.0.1, 12.5.0.0).
- Begræns offentlig adgang til EPMM API’er og behandl dem som højrisikoaktiver.
- Scan efter malwareartefakter og lastere som web-install.jar.
- Indsaml retsmedicinske beviser: logfiler, procesartefakter og diskbilleder.
- Overvåg mistænkelige API-kald, især GET-anmodninger med format=-parameteren.
Konklusion
Ivanti EPMM-malwarekits udgør alvorlige trusler, især for organisationer der har efterladt sårbare endpoints tilgængelige. Med CVE-2025-4427 og CVE-2025-4428 allerede aktivt udnyttet skal forsvarere patche straks, begrænse eksponerede API’er og søge efter kompromitteringsindikatorer. At vente for længe kan føre til dataeksfiltrering, regulatoriske konsekvenser eller fuld systemovertagelse.
0 svar til “CISA afslører malwarekits anvendt i Ivanti EPMM-angreb”