CISA enthüllt Malware-Kits, die bei Ivanti EPMM-Angriffen eingesetzt wurden

CISA hat aufgedeckt, dass Angreifer Ivanti EPMM-Malware-Kits eingesetzt haben, die kürzlich gepatchte Schwachstellen ausnutzen. Die Schwachstellen CVE-2025-4427 und CVE-2025-4428 ermöglichen Authentifizierungsumgehung und Code-Injektion. Bedrohungsakteure nutzen sie seit Mai und kompromittieren Systeme, deren APIs weiterhin verwundbar blieben.

Was die Schwachstellen sind

Die beiden Schwachstellen betreffen Ivanti Endpoint Manager Mobile (EPMM) in den Versionen 11.12.0.4, 12.3.0.1, 12.4.0.1 und 12.5.0.0. CVE-2025-4427 erlaubt es Angreifern, die Authentifizierung in der API-Komponente von EPMM zu umgehen. CVE-2025-4428 ermöglicht die Injektion und Ausführung beliebigen Codes. Obwohl Ivanti im Mai Patches veröffentlichte, blieben einige Kunden ungeschützt und exponiert.

Wie Angreifer die Malware-Kits nutzten

Bedrohungsakteure sendeten bösartige Anfragen an den Endpunkt /mifs/rs/api/v2/ über HTTP-GET-Aufrufe. Dabei nutzten sie den Parameter format=, um Remote-Befehle auszuführen. Angreifer teilten die bösartigen Komponenten in Base64-kodierte Segmente auf. Diese Malware-Kits enthalten Loader wie web-install.jar sowie Listener-Klassen (z. B. SecurityHandlerWanListener, ReflectUtil.class), die Persistenz und Datenexfiltration steuern. CISA analysierte zwei verschiedene Malware-Sets, die beide ähnlich funktionierten.

Bedrohungsakteure und Zeitlinie

Eine mit China verbundene Spionagegruppe begann vermutlich Mitte Mai 2025 mit der Ausnutzung dieser Schwachstellen. Forscher stellten fest, dass die Gruppe über detailliertes Wissen zu den internen Abläufen von Ivanti EPMM verfügt. Sie zweckentfremdeten legitime Systemfunktionen, um Anmeldedaten zu sammeln, Netzwerke zu kartieren und sensible Dateien zu exfiltrieren. Obwohl CISA keine detaillierte Attribution bestätigt, deuten technische Hinweise in diese Richtung.

Risiko für Organisationen

Viele Organisationen setzen EPMM-Lösungen für das Management mobiler Geräte und Endpunkte ein. Ein exponierter API-Endpunkt mit diesen Schwachstellen setzt sie dem Risiko einer Fernübernahme aus. Angreifer können Malware-Kits einsetzen, um Daten zu exfiltrieren, Persistenz aufzubauen oder sich lateral im Netzwerk zu bewegen. Ungepatchte Systeme oder solche mit exponierten Schnittstellen sind besonders gefährdet.

Was Verteidiger tun sollten

Administratoren sollten sofort handeln:

• Betroffene Ivanti EPMM-Versionen (11.12.0.4, 12.3.0.1, 12.4.0.1, 12.5.0.0) patchen.
• Öffentlichen Zugriff auf EPMM-APIs einschränken und sie als kritische Ressourcen behandeln.
• Nach Malware-Artefakten und Loadern wie web-install.jar scannen.
• Forensische Beweise sammeln: Logdateien, Prozessartefakte und Festplattenabbilder.
• Verdächtige API-Aufrufe überwachen, insbesondere GET-Anfragen mit dem Parameter format=.

Fazit

Die Ivanti EPMM-Malware-Kits stellen erhebliche Gefahren dar, insbesondere für Organisationen mit offen zugänglichen Endpunkten. Da CVE-2025-4427 und CVE-2025-4428 bereits aktiv ausgenutzt werden, müssen Verteidiger sofort patchen, exponierte APIs absichern und nach Anzeichen einer Kompromittierung suchen. Ein Zögern könnte zu Datenabflüssen, regulatorischen Folgen oder vollständigen Systemübernahmen führen.