CISA avslører skadevare-sett brukt i Ivanti EPMM-angrep

CISA har avslørt at angripere har distribuert Ivanti EPMM-skadevarepakker som utnytter nylig patchede sårbarheter. Sårbarhetene, CVE-2025-4427 og CVE-2025-4428, gjør det mulig å omgå autentisering og injisere kode. Trusselaktører har utnyttet dem siden mai og gått etter systemer der API-ene fortsatt var sårbare.

Hva sårbarhetene er

De to sårbarhetene påvirker Ivanti Endpoint Manager Mobile (EPMM) i versjonene 11.12.0.4, 12.3.0.1, 12.4.0.1 og 12.5.0.0. CVE-2025-4427 lar angripere omgå autentisering i EPMM sin API-komponent. CVE-2025-4428 gjør det mulig å injisere og kjøre vilkårlig kode. Selv om Ivanti ga ut patcher i mai, forble enkelte kunder ubeskyttet og eksponert.

Hvordan angriperne brukte skadevarepakker

Trusselaktører sendte ondsinnede forespørsler til /mifs/rs/api/v2/-endepunktet via HTTP GET, der parameteren format= ble brukt til å levere fjernkommandoer. Angriperne delte opp de ondsinnede komponentene i Base64-kodede segmenter. Disse skadevarepakkene inkluderte lastere som web-install.jar, lytterklasser (f.eks. SecurityHandlerWanListener, ReflectUtil.class) som håndterte persistens og dataeksfiltrering. CISA analyserte to forskjellige sett med skadevare; begge fungerte på lignende måte.

Trusselaktører og tidslinje

En Kina-tilknyttet spionasjegruppe antas å ha startet utnyttelsen av disse sårbarhetene rundt midten av mai 2025. Forskere fant at gruppen hadde god kunnskap om Ivanti EPMM sine interne mekanismer. De gjenbrukte legitime systemfunksjoner for å samle inn legitimasjon, kartlegge nettverk og hente ut sensitive filer. Selv om CISA ikke bekrefter attribusjon i detalj, peker tekniske bevis i den retningen.

Risiko for organisasjoner

Mange organisasjoner bruker EPMM-løsninger til håndtering av mobile enheter og endepunkter. Et eksponert API-endepunkt med disse sårbarhetene utgjør en risiko for fjernkontroll. Angripere kan bruke skadevarepakkene til å hente ut data, etablere persistens eller bevege seg lateralt i nettverk. Uoppdaterte systemer eller de med eksponerte grensesnitt står i særlig fare.

Hva forsvarere bør gjøre

Administratorer bør handle umiddelbart:

• Patch berørte Ivanti EPMM-versjoner (11.12.0.4, 12.3.0.1, 12.4.0.1, 12.5.0.0).
• Begrens offentlig tilgang til EPMM API-er og behandle dem som høyrisikoressurser.
• Skann etter skadevareartefakter og lastere som web-install.jar.
• Samle inn rettsmedisinske bevis: loggfiler, prosessartefakter og diskavbildninger.
• Overvåk mistenkelige API-kall, spesielt GET-forespørsler med format=-parameteren.

Konklusjon

Ivanti EPMM-skadevarepakkene utgjør alvorlige trusler, spesielt for organisasjoner som har latt sårbare endepunkter være tilgjengelige. Med CVE-2025-4427 og CVE-2025-4428 allerede aktivt utnyttet, må forsvarere patche raskt, begrense eksponerte API-er og lete etter kompromitteringsindikatorer. Å utsette tiltak kan føre til dataeksfiltrering, regulatoriske konsekvenser eller full systemovertakelse.