2 уязвимости, 0 дней на реакцию. История о том, как публикация уязвимости превратилась в реальный взлом за считанные часы

leer en español

Ivanti CISA уязвимость взлом эксплойт кибератака патч
2 уязвимости, 0 дней на реакцию. История о том, как публикация уязвимости превратилась в реальный взлом за считанные часы
Ivanti CISA уязвимость взлом эксплойт кибератака патч

CISA требует от госкомпаний немедленных действий.

image

Национальное агентство по кибербезопасности США (CISA) опубликовало предупреждение о двух наборах вредоносного ПО, которые были обнаружены в сети неназванной организации после эксплуатации свежих уязвимостей в системе управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM). Злоумышленники использовали уязвимости CVE-2025-4427 и CVE-2025-4428, обе из которых применялись в атаках в нулевой день до того, как Ivanti выпустила обновления в мае 2025 года.

Первая уязвимость позволяет обойти аутентификацию и получить доступ к защищённым ресурсам, а вторая — выполнять произвольный код удалённо. В связке они открывают возможность для неавторизованного выполнения произвольных команд на уязвимом сервере EPMM. CISA отмечает, что атака началась около 15 мая 2025 года, вскоре после публикации PoC-эксплойта.

Злоумышленники использовали доступ для выполнения команд, которые позволили собрать системную информацию, загрузить вредоносные файлы, получить список содержимого корневого каталога, провести разведку сети, запустить скрипт для создания дампа кучи и извлечь учётные данные LDAP. На сервер были загружены два различных набора вредоносных файлов, оба в каталог /tmp, каждый из которых обеспечивал устойчивость путём инъекции и выполнения произвольного кода:

В обоих случаях JAR-файл запускал Java-класс, функционирующий как вредоносный HTTP-приёмник. Эти классы перехватывали определённые запросы, расшифровывали вложенные в них полезные нагрузки и динамически создавали новый класс, исполняемый прямо в памяти.

В частности, ReflectUtil.class использовался для манипуляции объектами Java и инъекции компонента SecurityHandlerWanListener в среду выполнения Apache Tomcat. Этот приёмник перехватывал HTTP-запросы, декодировал и расшифровывал данные, после чего выполнял сгенерированный класс.

Второй компонент (WebAndroidAppInstaller.class) использовал жёстко заданный ключ для расшифровки параметра пароля из запроса, на основе которого формировался и исполнялся новый класс. Его результат затем снова шифровался тем же ключом и отправлялся в ответе.

Таким образом, обе цепочки обеспечивали скрытую возможность для удалённого выполнения кода, постоянного присутствия в системе и организации последующих этапов атаки, включая перехват и обработку HTTP-трафика с целью извлечения данных.

CISA рекомендует администраторам немедленно обновить все уязвимые инсталляции Ivanti EPMM до актуальной версии, усилить мониторинг активности и ограничить доступ к системам MDM, чтобы предотвратить аналогичные вторжения в будущем.