Хакеры начали активно эксплуатировать уязвимости CVE-2025-4427 и CVE-2025-4428 в продукте Ivanti Endpoint Manager Mobile (EPMM), причём атаки теперь затрагивают не только локальные инсталляции, но и облачные окружения клиентов. Об этом сообщила компания Wiz, отметив, что с 16 мая фиксируется использование этих уязвимостей в боевых условиях.
Уязвимость CVE-2025-4427 (оценка CVSS: 5.3) позволяет обойти аутентификацию, а CVE-2025-4428 (оценка CVSS: 7.2) открывает возможность удалённого выполнения кода после входа в систему. Совместное использование уязвимостей позволяет злоумышленникам запускать вредоносное ПО на уязвимом экземпляре Ivanti EPMM и захватывать над ним полный контроль. Оба уязвимых места касаются программного обеспечения, которое предназначено для управления корпоративными устройствами, приложениями и безопасным доступом к внутренним ресурсам компании.
По данным Wiz, атакующие уже задействовали уязвимости для установки инструмента удалённого доступа Sliver в облачные среды жертв. Этот фреймворк популярен у различных группировок, включая спонсируемые государствами, а также операторов программ-вымогателей. Sliver используется для закрепления доступа в скомпрометированной инфраструктуре, запуска последующих атак, кражи учётных данных и внедрения шпионских модулей.
Обе уязвимости получили исправления на прошлой неделе, и Ivanti тогда заявила, что эксплуатируются они лишь в “очень ограниченном числе” on-premise-инсталляций. Компания подчеркнула, что проблема не затрагивает облачные продукты и связана с уязвимостями в неопределённых open source-библиотеках. В то же время специалисты Wiz указывают на небезопасную обработку Java Expression Language и использование Spring, что стало технической основой для обеих уязвимостей.
CVE-2025-4428, по данным Wiz, обусловлена некорректной обработкой пользовательского ввода в сообщениях об ошибке, обрабатываемых через компонент AbstractMessageSource в Spring. Это открывает путь для внедрения кода через выражения EL (Expression Language). Уязвимость CVE-2025-4427, в свою очередь, вызвана отсутствием правил аутентификации для определённых маршрутов – например, /rs/api/v2/featureusage, что позволяет неавторизованному пользователю попасть к уязвимым компонентам и в итоге выполнить удалённый код при цепочке с CVE-2025-4428.
Специалисты также зафиксировали использование IP-адреса 77.221.157[.]154 в ходе атак с использованием Sliver. Этот же адрес ранее применялся при атаках на устройства с уязвимостями в PAN-OS осенью 2024 года. Сертификат TLS, выданный этому IP, не менялся с ноября 2024 года, что, по мнению Wiz, указывает на активность одного и того же злоумышленника.
Несмотря на то что изолированно каждая из уязвимостей не считается критической – CVSS-оценки составляют 5.3 и 7.2 соответственно, – в комбинации они обеспечивают полный захват системы. Поэтому специалисты призывают срочно устанавливать исправления.