Ivanti EPMM colpito da due vulnerabilità 0-day sfruttate attivamente

Gli utenti di Ivanti EPMM devono applicare urgentemente la patch contro le vulnerabilità 0-day attivamente sfruttate (CVE-2025-4427, CVE-2025-4428) che consentono l'esecuzione di codice remoto pre-autenticato, avverte watchTowr.

I ricercatori di sicurezza informatica di watchTowr hanno condiviso i dettagli di due vulnerabilità di sicurezza nel software Ivanti Endpoint Manager Mobile (EPMM), identificate come CVE-2025-4427 e CVE-2025-4428, che possono essere combinate per ottenere il controllo completo sui sistemi interessati e sono attivamente sfruttate dagli aggressori.

Ivanti EPMM è un sistema di gestione dei dispositivi mobili ( MDM ), fondamentale per la sicurezza aziendale, che funge da punto centrale per il controllo dell'implementazione del software e l'applicazione delle policy sui dispositivi dei dipendenti. Tuttavia, le falle sopra menzionate stanno trasformando questo strumento di gestione in un potenziale punto di ingresso per malintenzionati. L'analisi di watchTowr, condivisa con Hackread.com, indica che sfruttare queste vulnerabilità è sorprendentemente semplice.

La prima vulnerabilità, CVE-2025-4427, è una falla di bypass dell'autenticazione , che consente agli aggressori di accedere a parti protette del sistema Ivanti EPMM senza dover disporre delle credenziali di accesso appropriate. La seconda vulnerabilità, CVE-2025-4428, è una falla di esecuzione di codice remoto (RCE) che, se sfruttata, può consentire agli aggressori di eseguire il proprio codice dannoso sul server.

La stessa Ivanti ha riconosciuto la gravità della combinazione di questi problemi, affermando che "uno sfruttamento riuscito potrebbe portare all'esecuzione di codice remoto non autenticato". L'azienda ha anche segnalato di essere a conoscenza di un "numero molto limitato di clienti che sono stati sfruttati" da quando le vulnerabilità sono state divulgate.

Ciò suggerisce che, sebbene al momento gli attacchi possano essere mirati, potrebbero estendersi ulteriormente. watchTowr osserva che, una volta che tali attacchi mirati diventano di dominio pubblico, è comune che gli aggressori ne inizino lo sfruttamento in massa per scovare eventuali sistemi vulnerabili rimasti.

È interessante notare che Ivanti ha affermato che le vulnerabilità non sono presenti nel codice proprietario, ma sono "associate a due librerie open source integrate in EPMM". Hanno sottolineato che l'utilizzo di codice open source è una pratica standard nel settore tecnologico.

WatchTower ha scoperto una vulnerabilità RCE ( CVE-2025-4428 ) nella libreria hibernate-validator, che consente agli aggressori di iniettare codice dannoso tramite un parametro chiamato "format" nelle richieste API . WatchTower ha dimostrato con successo questa vulnerabilità inviando una semplice richiesta web che eseguiva un calcolo, dimostrando la possibilità di iniettare codice. Inoltre, gli aggressori potevano eseguire comandi di sistema, come la creazione di un file sul server.

Il bypass dell'autenticazione ( CVE-2025-4427 ) è un problema di "ordine delle operazioni" piuttosto che un bypass tradizionale. Un parametro "format" contraffatto in una richiesta all'endpoint /api/v2/featureusage_history attiva il processo di convalida vulnerabile prima del controllo di autenticazione, consentendo a un aggressore non autenticato di attivare la vulnerabilità di esecuzione del codice. La presenza del parametro modifica l'ordine di elaborazione, eliminando la necessità di effettuare prima l'accesso.

watchTowr ha concatenato con successo queste due vulnerabilità nel server Ivanti EPMM inviando una richiesta web contraffatta all'endpoint /rs/api/v2/featureusage con un parametro "format" dannoso, consentendo loro di eseguire comandi di sistema senza effettuare l'accesso, creando così uno scenario RCE pre-autenticato.

Queste vulnerabilità rappresentano un rischio critico per le organizzazioni che utilizzano le versioni interessate. Sono disponibili patch per le versioni 11.12.0.5, 12.3.0.2, 12.4.0.2 e 12.5.0. Si consiglia alle organizzazioni che utilizzano versioni precedenti non patchate di aggiornarle immediatamente.