Hakeri su iskoristili dvije ranjivosti u Ivanti EPMM-u da bi prikupljali informacije o sistemu, krali kredencijale i izvršavali malver.
Američka agencija za sajber bezbjednost CISA podijelila je tehničke detalje o malveru koji je korišćen u napadima na dvije ranjivosti u Ivanti Endpoint Manager Mobile (EPMM).
Ranjivosti, označene kao CVE-2025-4427 (CVSS ocjena 5.3) i CVE-2025-4428 (CVSS ocjena 7.2), otkrivene su 13. maja, nakon što su hakeri već počeli da ih zloupotrebljavaju. Eksploatacija je intenzivirana nekoliko dana kasnije, nakon što je objavljen proof-of-concept (PoC) kod. Krajem maja otkriveno je da je haker povezan sa Kinom, UNC5221, koristio ove ranjivosti u napadima.
Bezbijednosni propusti – zaobilaženje autentifikacije i daljinsko izvršavanje koda (RCE) – otkriveni su u dvije open source biblioteke ugrađene u EPMM, a mogu se kombinovati za neautentifikovano RCE.
CISA je sada podijelila detalje, indikatore kompromitacije (IoC) i pravila detekcije za dva seta malvera (pet fajlova) koja su prikupljena sa mreže kompromitovane eksploatacijom ranjivog Ivanti EPMM servera.
Kombinovanjem ranjivosti, hakeri su dobili pristup serveru na kojem je radio EPMM i izvršavali udaljene komande da bi prikupili informacije o sistemu, listali root direktorijum, ubacivali maliciozne fajlove, obavljali mrežno izviđanje, pokretali skripte i preuzimali LDAP kredencijale.
Na server su postavljena dva seta malvera u privremeni direktorijum, pri čemu je svaki set omogućavao “upornost ubacivanjem i izvršavanjem proizvoljnog koda na kompromitovanom serveru”, navodi CISA.
Oba seta su uključivala loader i maliciozni listener koji je napadačima omogućavao dalju distribuciju i izvršavanje koda. Malver je ubacivan segment po segment, kako bi se izbjegla detekcija na osnovu potpisa i ograničenja veličine fajlova.
Prvi set je takođe sadržao menadžer dizajniran za manipulaciju Java objektima i ubacivanje malicioznog listenera u Apache Tomcat (koji je radio na istom serveru). Listener je presretao određene HTTP zahtjeve, obrađivao ih, dekodirao i dešifrovao payload, a zatim dinamički kreirao i pokretao novu klasu.
Listener u drugom setu bio je dizajniran da preuzima i dešifruje parametre lozinki iz određenih HTTP zahtjeva, definiše i učitava novu malicioznu klasu, šifruje i kodira njen izlaz i vraća generisani odgovor.
CISA preporučuje da se Ivanti EPMM što prije ažurira na verzije sa zakrpama (11.12.0.5, 12.3.0.2, 12.4.0.2, 12.5.0.1 i novije), uvedu dodatna ograničenja i monitoring za MDM sisteme i da se poštuju najbolje sajber bezbjednosne prakse.
Izvor: SecurityWeek
