CISA avslöjar skadeprogramkit som används i Ivanti EPMM-attacker

CISA har avslöjat att angripare har distribuerat Ivanti EPMM-skadekits som utnyttjar nyligen patchade sårbarheter. Sårbarheterna, CVE-2025-4427 och CVE-2025-4428, möjliggör autentiseringsförbigång och kodinjektion. Hotaktörer har utnyttjat dem sedan maj och angripit system vars API:er förblev sårbara.

Vad sårbarheterna är

De två sårbarheterna påverkar Ivanti Endpoint Manager Mobile (EPMM) i versionerna 11.12.0.4, 12.3.0.1, 12.4.0.1 och 12.5.0.0. CVE-2025-4427 gör det möjligt för angripare att kringgå autentisering i EPMM:s API-komponent. Samtidigt gör CVE-2025-4428 det möjligt att injicera och köra godtycklig kod. Även om Ivanti släppte patchar i maj förblev vissa kunder oskyddade och exponerade.

Hur angriparna använde skadekit

Hotaktörer skickade skadliga förfrågningar till endpointen /mifs/rs/api/v2/ via HTTP GET-anrop, där parametern format= användes för att leverera fjärrkommandon. Angriparna delade upp de skadliga komponenterna i Base64-kodade segment. Dessa skadekit innehåller laddare som web-install.jar, lyssnarklasser (t.ex. SecurityHandlerWanListener, ReflectUtil.class) som hanterar persistens och dataexfiltrering. CISA analyserade två separata uppsättningar av skadlig kod, båda med liknande funktioner.

Hotaktörer och tidslinje

En Kina-kopplad spionagegrupp tros ha börjat utnyttja dessa sårbarheter i mitten av maj 2025. Forskare fann att gruppen har god kännedom om Ivanti EPMM:s interna funktioner. De återanvände legitima systemfunktioner för att samla in inloggningsuppgifter, kartlägga nätverk och hämta känsliga filer. Även om CISA inte bekräftar attribution i detalj pekar tekniska bevis i den riktningen.

Risk för organisationer

Många organisationer använder EPMM-lösningar för hantering av mobila enheter och endpoints. En exponerad API-endpoint med dessa sårbarheter innebär risk för fjärrövertagande. Angripare kan använda skadekiten för att exfiltrera data, etablera persistens eller röra sig lateralt i nätverk. Opatchade system eller de med exponerade gränssnitt löper särskild risk.

Vad försvarare bör göra

Administratörer bör agera omedelbart:

• Patcha påverkade Ivanti EPMM-versioner (11.12.0.4, 12.3.0.1, 12.4.0.1, 12.5.0.0).
• Begränsa offentlig åtkomst till EPMM API:er och behandla dem som högriskresurser.
• Skanna efter artefakter och laddare som web-install.jar.
• Samla in forensiska bevis: loggfiler, processartefakter och diskavbilder.
• Övervaka misstänkta API-anrop, särskilt GET-förfrågningar med format=-parametern.

Slutsats

Ivanti EPMM-skadekiten innebär allvarliga risker, särskilt för organisationer som lämnat sårbara endpoints åtkomliga. Eftersom CVE-2025-4427 och CVE-2025-4428 redan utnyttjas aktivt måste försvarare patcha omedelbart, begränsa exponerade API:er och leta efter komprometteringsindikatorer. Att vänta kan leda till dataexfiltrering, regulatoriska konsekvenser eller systemövertaganden.