CVE-2025-4427 und CVE-2025-4428 Erkennung: Ivanti EPMM Exploit-Kette führt zu RCE
Inhaltsverzeichnis:
Nach der Offenlegung von CVE-2025-31324, einer nicht authentifizierten Datei-Upload-Schwachstelle in SAP NetWeaver, die RCEermöglicht, sind zwei weitere Sicherheitslücken in der Ivanti Endpoint Manager Mobile (EPMM)-Software aufgetaucht. Identifiziert als CVE-2025-4427 und CVE-2025-4428, können diese Schwachstellen miteinander verbunden werden, um RCE auf gefährdeten Geräten ohne Authentifizierung zu erreichen.
Erkennung der Ausnutzungskette von CVE-2025-4427 und CVE-2025-4428
Mit dem starken Anstieg von Schwachstellen in weit verbreiteter Software und deren schneller Bewaffnung in realen Angriffen ist die Notwendigkeit proaktiver Bedrohungserkennung entscheidend. In der ersten Hälfte des Jahres 2025 hat NIST mehr als 18.000 Schwachstellen protokolliert , von denen viele bereits die Grenzen von SOC-Teams weltweit testen. Da Cyber-Bedrohungen immer fortschrittlicher werden, wird eine frühzeitige Erkennung unerlässlich, um Angreifern einen Schritt voraus zu bleiben und Schäden zu minimieren.
Registrieren Sie sich jetzt für die SOC Prime-Plattform , um auf eine umfangreiche Bibliothek kontextangereicherter Erkennungsregeln zuzugreifen, die Ihnen helfen, einen Schritt voraus zu sein bei Angriffen, die aufkommende Schwachstellen ausnutzen. Die Plattform bietet kuratierte Erkennungen für die neueste Ivanti EPMM Ausnutzungskette (CVE-2025-4427, CVE-2025-4428), unterstützt durch eine vollständige Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung. Klicken Sie auf die Erkennungen erkunden -Schaltfläche unten, um in den relevanten Erkennungsstapel einzutauchen.
Sicherheitsexperten können auch den Threat Detection Marketplace durchsuchen, indem sie die Tags „CVE-2025-4427“ und „CVE-2025-4428“ verwenden, um gezielteren Inhalt zu finden. Um eine größere Anzahl an Erkennungsregeln zur Schwachstellenausnutzung zu erkunden, wenden Sie einfach das Tag „CVE“ an, um die gesamte Sammlung anzuzeigen.
Zusätzlich können Sicherheitsexperten die Bedrohungsuntersuchung mit Uncoder AI – einer privaten IDE & Co-Pilot für bedrohungsinformierte Erkennungstechnik – vereinfachen, das jetzt völlig kostenlos und ohne Token-Beschränkungen für KI-Funktionen verfügbar ist. Generieren Sie Erkennungsalgorithmen aus Rohbedrohungsberichten, ermöglichen Sie schnelle IOC-Abfragen in leistungsoptimierten Anfragen, prognostizieren Sie ATT&CK-Tags, optimieren Sie Anfragencode mit KI-Tipps und übersetzen Sie ihn in mehrere SIEM-, EDR- und Data-Lake-Sprachen.
CVE-2025-4427 und CVE-2025-4428 Analyse
Ivanti hat kürzlich zwei neu identifizierte Schwachstellen in der API-Komponente seiner EPMM-Software angesprochen, die kombiniert werden können, um Angreifern grünes Licht für die Remote-Code-Ausführung auf ungepatchten Geräten ohne Authentifizierung zu geben. Die Schwachstellen umfassen CVE-2025-4427 (mit einem CVSS-Score von 5.3), ein Authentifizierungs-Bypass, der es Angreifern ermöglicht, auf eingeschränkte Ressourcen ohne gültige Anmeldedaten zuzugreifen, und CVE-2025-4428 (mit einem CVSS-Score von 7.2), eine RCE-Schwachstelle, die es Gegnern ermöglicht, beliebigen Code auf betroffenen Systemen auszuführen.
Der Anbieter erklärte, dass zum Zeitpunkt der Offenlegung der Schwachstelle nur eine begrenzte Anzahl von Kunden betroffen war. Die Sicherheitsprobleme sind mit zwei Open-Source-Bibliotheken verknüpft, die in EPMM verwendet werden, und es ist unklar, ob andere Software, die sie benutzt, ebenfalls betroffen ist. Das Unternehmen betonte, dass Kunden, die API-Filterung über Portal-ACLs oder ein externes WAF verwenden, einem erheblich geringeren Risiko ausgesetzt sind. Das Problem betrifft nur die lokalen EPMM-Instanzen und beeinträchtigt nicht Ivanti Neurons for MDM, Ivanti Sentry oder andere Produktangebote.
Unterdessen haben die Forscher von watchTower Labs ein Proof of Concept (Pre-Auth RCE Chain 1day Detection Artifact Generator Tool) auf GitHub veröffentlicht, das zeigt, wie die Schwachstellen kombiniert werden können, um RCE in Ivanti EPMM zu erreichen. Verteidiger beobachteten, dass obwohl die Drittanbieter-Bibliothek „hibernate-validator“ von Version 6.0.22 auf 6.2.5 aktualisiert wurde, dennoch willkürlich Befehle ausgeführt werden können, indem eine speziell gestaltete HTTP GET-Anfrage an „/mifs/admin/rest/api/v2/featureusage“ gesendet wird. Es wurde auch klargestellt, dass CVE-2025-4427 weniger ein Authentifizierungs-Bypass und mehr ein Logikfehler, ein „Order of Operations“-Problem ist, bei dem Sicherheitsgrenzen im Code falsch angewendet werden. Forscher fragten sich , ob es sich hierbei wirklich um eine Drittanbieter-Schwachstelle handelt oder um ein Ergebnis unsicherer Nutzung bekannter riskanter Funktionen.
Da Schwachstellen EPMM-Versionen bis 11.12.0.4, 12.3.0.1, 12.4.0.1 und 12.5.0.0 betreffen, wird Verteidigern empfohlen, die in den nächsten Patch-Versionen vom Anbieter bereitgestellten Lösungen schnell anzuwenden. Insbesondere das Upgrade auf die entsprechenden Softwareversionen 11.12.0.5, 12.3.0.2, 12.4.0.2 und 12.5.0.1 dient als wirksame Maßnahme zur Minderung von CVE-2025-4427 und CVE-2025-4428, um die Risiken von Ausnutzungskettenangriffen zu minimieren. SOC Prime-Plattform stattet globale Organisationen in verschiedenen Industriebranchen und einzelne Forscher mit einer hochmodernen, KI-gestützten Produktsuite aus, um sich proaktiv gegen Cyber-Bedrohungen jeder Größe und Komplexität zu verteidigen, einschließlich kritischer CVEs und Zero-Days, die kontinuierlich in populärer Software auftauchen.
