摘要
3月13日,Ivanti披露了影响其本地部署版Endpoint Manager Mobile产品的两个漏洞:CVE-2025-4427(认证绕过)和CVE-2025-4428(认证后RCE漏洞)。虽然单个漏洞严重性不高(CVSS评分分别为5.3和7.2),但组合利用后可使未认证攻击者在受影响EPMM实例上执行恶意代码。Ivanti确认在初始披露前已发现有限的实际攻击案例,GreyNoise和Wiz等多家机构证实自5月16日起出现大规模攻击活动,这与漏洞验证代码的公开时间基本吻合。
受影响系统和/或应用
以下版本的Ivanti Endpoint Manager Mobile:
- 11.12.0.4及之前版本
- 12.3.0.1及之前版本
- 12.4.0.1及之前版本
- 12.5.0.0及之前版本
技术细节/攻击概述
Wiz对漏洞技术细节进行了精要总结:
“CVE-2025-4428是EPMM设备功能使用报告查询验证器(DeviceFeatureUsageReportQueryRequestValidator)中的认证后远程代码执行漏洞。该漏洞源于Spring框架的AbstractMessageSource在处理错误消息时对用户输入的不安全处理,导致攻击者可通过EL表达式注入实现任意Java代码执行。精心构造/api/v2/featureusage端点中的format参数即可触发命令注入(如Runtime.exec())。
CVE-2025-4427是EPMM路由配置中的认证绕过漏洞。由于Spring Security配置缺少
Wiz还分享了从Sliver植入案例中提取的威胁指标:
| IOC | 描述 |
|---|---|
| 1b1dda5e8e26da568559e0577769697c624df30e | Sliver Beacon (SHA1) |
| ac389c8b7f3d2fcf4fd73891f881b12b8343665b | Sliver Beacon (SHA1) |
| 79.96.45[.]181 | Sliver C2 IP地址 |
该C2 IP目前仍处于活跃状态,根据共享证书判断,以下服务器可能也由同一攻击者控制:
- 185.174.137[.]26
- 46.41.134[.]8
- 79.96.45[.]181
- elektrobohater[.]pl
- wagodirect[.]pl
- e-wago[.]pl
缓解措施
将EPMM实例升级至以下版本:
- 11.12.0.5
- 12.3.0.2
- 12.4.0.2
- 12.5.0.1
在打补丁前,建议限制对受认证绕过影响的端点(/rs/api/v2/* 和 /mifs/rs/api/v2/*)的网络访问。
网络融合中心采取的措施
CFC将持续监控事态发展,必要时发布安全通告更新。除IOC检测外,正在研究更多威胁狩猎可能性。订阅漏洞扫描服务的客户将在扫描提供商发布相关插件后立即获得关键漏洞扫描结果。
Qualys ID:530061, 732523
Tenable ID:235860
参考链接
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM
- https://www.ivanti.com/blog/epmm-security-update
- https://www.greynoise.io/blog/ivanti-epmm-zero-days-reconnaissance-exploitation
- https://www.wiz.io/blog/ivanti-epmm-rce-vulnerability-chain-exploited-in-the-wil-cve-2025-4427-cve-2025-4
- https://labs.watchtowr.com/expression-payloads-meet-mayhem-cve-2025-4427-and-cve-2025-4428/