Két sebezhetőség összefűzve
A CVE-2025-4427 lehetővé teszi a jogosulatlan hozzáférést, míg a CVE-2025-4428 jogosult felhasználók nevében távoli kódvégrehajtást tesz lehetővé. Ezeket összekapcsolva a támadó teljesen átveheti az irányítást a kihasznált EPMM szerver felett, illetve kártékony kódot futtathat rajta.
Kifinomult, szegmentált kártevő
A vizsgált támadás során két különálló kártékony programcsomag jelent meg. Az első három fájlt tartalmaz (web-install.jar, ReflectUtil.class, SecurityHandlerWanListener.class), a második kettőt (web-install.jar, WebAndroidAppInstaller.class). Az első csomag a ReflectUtil.class-t tölti be, amely a SecurityHandlerWanListener komponens révén képes HTTP kéréseket elfogadni, payloadokat dekódolni, illetve új káros kódot futtatni. A második pedig a WebAndroidAppInstaller.class-t tölti be, amely jelszóadatokat lop, mielőtt egy újabb rosszindulatú osztályt létrehozna, és titkosítva választ küldene.
Nehezített észlelhetőség
A támadók mindkét kártevő betöltőt Base64-kódolt szeletekre bontották, és ezeket több, külön HTTP GET kéréssel juttatták el a célhoz, ezzel megkerülve a hagyományos vírusvédelmi szűrőket.
Megelőzés és ajánlás
A CISA részletes technikai leírást is közzétett a támadásról, és nyomatékosan ajánlja az Ivanti EPMM legfrissebb verziójára való azonnali frissítést, valamint azt, hogy minden mobil eszközmenedzsment rendszert kiemelt védelemmel, plusz felügyelettel lássanak el az ilyen típusú támadások kivédésére.
