Ivanti端点管理器移动版多漏洞可能导致远程代码执行

MS-ISAC咨询编号：2025-051
发布日期：2025年5月15日

概述

在Ivanti端点管理器移动版（EPMM）中发现多个漏洞，其中最严重的漏洞可能允许远程代码执行。Ivanti EPMM是一个统一端点管理解决方案，使组织能够通过集中界面安全地管理和监控跨多个平台的移动设备、应用程序和内容。成功利用最严重的漏洞可能允许在系统上下文中执行远程代码。根据系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。

威胁情报

在披露时，仅有有限数量的客户解决方案遭到利用。

受影响系统

• Ivanti端点管理器移动版 11.12.0.4及更早版本
• Ivanti端点管理器移动版 12.3.0.1及更早版本
• Ivanti端点管理器移动版 12.4.0.1及更早版本
• Ivanti端点管理器移动版 12.5.0.0及更早版本

风险评级

政府机构：

• 大中型政府实体：高
• 小型政府实体：中

企业：

• 大中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术摘要

在Ivanti端点管理器移动版中发现多个漏洞，其中最严重的可能允许远程代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）：

• Ivanti端点管理器移动版中的远程代码执行漏洞，允许攻击者在目标系统上执行任意代码（CVE-2025-4428）

低严重性漏洞详情：

• Ivanti端点管理器移动版中的身份验证绕过漏洞，允许攻击者在没有适当凭据的情况下访问受保护资源。利用此漏洞可能导致CVE-2025-4428的利用（CVE-2025-4427）

成功利用这些漏洞可能允许在系统上下文中执行远程代码。根据系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。

修复建议

我们建议采取以下行动：

• 经过适当测试后立即为易受攻击的系统应用Ivanti提供的适当更新（M1051：更新软件）
• 保障措施7.1：建立和维护漏洞管理流程：为企业资产建立和维护文档化的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档
• 保障措施7.2：建立和维护修复流程：建立和维护基于风险的修复策略，记录在修复流程中，每月或更频繁地进行审查
• 保障措施7.4：执行自动化应用程序补丁管理：通过每月或更频繁的自动化补丁管理对企业资产执行应用程序更新
• 保障措施7.5：执行企业内部资产的自动化漏洞扫描：每季度或更频繁地对企业内部资产执行自动化漏洞扫描。使用符合SCAP的漏洞扫描工具进行身份验证和非身份验证扫描
• 保障措施7.7：修复检测到的漏洞：根据修复流程，每月或更频繁地通过流程和工具修复软件中检测到的漏洞
• 保障措施12.1：确保网络基础设施保持最新：确保网络基础设施保持最新。示例实施包括运行最新的稳定软件版本和/或使用当前支持的网络即服务（NaaS）产品。每月或更频繁地审查软件版本以验证软件支持
• 保障措施18.1：建立和维护渗透测试计划：建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围（如网络、Web应用程序、API、托管服务和物理场所控制）、频率、限制（如可接受的时间和排除的攻击类型）、联系点信息、修复（如如何内部路由发现结果）和追溯要求
• 保障措施18.2：执行定期外部渗透测试：根据计划要求执行定期外部渗透测试，不少于每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验，必须通过合格方进行。测试可以是白盒或黑盒
• 保障措施18.3：修复渗透测试发现：根据企业的修复范围和优先级策略修复渗透测试发现
• 对所有系统和服务应用最小权限原则。以非特权用户（无管理权限）身份运行所有软件以减少成功攻击的影响（M1026：特权账户管理）
• 保障措施4.7：管理企业资产和软件上的默认账户：管理企业资产和软件上的默认账户，如root、管理员和其他预配置供应商账户。示例实施包括：禁用默认账户或使其无法使用
• 保障措施5.5：建立和维护服务账户清单：建立和维护服务账户清单。清单至少必须包含部门所有者、审查日期和目的。执行服务账户审查以验证所有活动账户均已授权，最少每季度或更频繁地按重复计划进行
• 漏洞扫描用于发现可能可利用的软件漏洞以进行修复（M1016：漏洞扫描）
• 保障措施16.13：执行应用程序渗透测试：执行应用程序渗透测试。对于关键应用程序，身份验证渗透测试比代码扫描和自动化安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试人员的技能，以身份验证和非身份验证用户身份手动操作应用程序
• 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问可能敏感的系统信息。使用DMZ包含不应从内部网络暴露的任何面向互联网的服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统（M1030：网络分段）
• 保障措施12.2：建立和维护安全网络架构：建立和维护安全网络架构。安全网络架构必须至少解决分段、最小权限和可用性
• 使用功能检测和阻止可能导致或指示软件利用发生的条件（M1050：利用保护）
• 保障措施10.5：启用反利用功能：尽可能在企业资产和软件上启用反利用功能，如Microsoft®数据执行保护（DEP）、Windows® Defender Exploit Guard（WDEG）或Apple®系统完整性保护（SIP）和Gatekeeper™

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-4428
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-4427

Ivanti：

• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM?language=en_US

Tenable：

• https://www.tenable.com/blog/cve-2025-4427-cve-2025-4428-ivanti-endpoint-manager-mobile-epmm-remote-code-execution