Detección de CVE-2025-4427 y CVE-2025-4428: Cadena de Explotación de Ivanti EPMM que Conduce a RCE
Tabla de contenidos:
Tras la divulgación de CVE-2025-31324, una vulnerabilidad de carga de archivos no autenticada en SAP NetWeaver que permite RCE, han surgido dos fallos de seguridad más en el software Ivanti Endpoint Manager Mobile (EPMM). Identificados como CVE-2025-4427 y CVE-2025-4428, estas vulnerabilidades pueden combinarse para lograr RCE en dispositivos vulnerables sin requerir autenticación.
Detectar la Cadena de Explotación CVE-2025-4427 y CVE-2025-4428
Con el fuerte aumento de las vulnerabilidades en software ampliamente utilizado y su rápida explotación en ataques reales, la necesidad de detección proactiva de amenazas es vital. En la primera mitad de 2025, NIST registró más de 18,000 vulnerabilidades, muchas de las cuales ya están poniendo a prueba los límites de los equipos SOC en todo el mundo. A medida que las amenazas cibernéticas se vuelven más avanzadas, la detección temprana se vuelve esencial para adelantarse a los atacantes y minimizar los daños.
Regístrese ahora en la Plataforma SOC Prime para acceder a una amplia biblioteca de reglas de detección enriquecidas con contexto, ayudándole a mantenerse un paso adelante de los ataques que aprovechan vulnerabilidades emergentes. La plataforma presenta detecciones curadas para la última cadena de explotación Ivanti EPMM (CVE-2025-4427, CVE-2025-4428), respaldada por un conjunto completo de productos para ingeniería de detección impulsada por IA, caza de amenazas automatizada, y detección avanzada de amenazas. Haga clic en el botón Explorar Detecciones a continuación para profundizar en el stack de detección relevante.
Los profesionales de seguridad también pueden navegar por el Mercado de Detección de Amenazas usando las etiquetas “CVE-2025-4427” y “CVE-2025-4428” para obtener contenido más específico. Para explorar un conjunto más amplio de reglas de detección relacionadas con la explotación de vulnerabilidades, simplemente aplique la etiqueta “CVE” para ver la colección completa.
Además, los profesionales de seguridad pueden optimizar la investigación de amenazas utilizando Uncoder AI – un IDE privado y copiloto para ingeniería de detección informada por amenazas – ahora completamente gratis y disponible sin límites de token en las funciones de IA. Genere algoritmos de detección a partir de informes de amenazas en bruto, habilite barridos rápidos de IOC en consultas optimizadas para el rendimiento, prediga etiquetas ATT&CK, optimice el código de consulta con consejos de IA y tradúzcalo a varios lenguajes de SIEM, EDR y Data Lake.
Análisis de CVE-2025-4427 y CVE-2025-4428
Ivanti ha resuelto recientemente dos vulnerabilidades recién identificadas en el componente API de su software EPMM, que pueden combinarse, dando a los atacantes luz verde para ejecutar código de forma remota en dispositivos sin parchear sin autenticación. Las fallas incluyen CVE-2025-4427 (con una puntuación CVSS de 5.3), una omisión de autenticación que permite a los atacantes acceder a recursos restringidos sin credenciales válidas, y CVE-2025-4428 (con una puntuación CVSS de 7.2), una falla de RCE que permite a los adversarios ejecutar código arbitrario en los sistemas afectados.
El proveedor afirmó que solo un número limitado de clientes se vio afectado en el momento de la divulgación de la vulnerabilidad. Los problemas de seguridad están vinculados a dos bibliotecas de código abierto utilizadas en EPMM, y no está claro si otro software que las utilice también está afectado. La compañía enfatizó que los clientes que usan filtrado de API, a través de ACLs del Portal o un WAF externo, enfrentan un riesgo significativamente menor. El problema afecta solo a las instancias EPMM locales y no impacta Ivanti Neurons for MDM, Ivanti Sentry, ni otras ofertas de productos.
Mientras tanto, los investigadores de watchTower Labs han publicado un PoC (Generador de Artefactos de Detección 1day de Cadena RCE Sin Autenticación Previa) en GitHub, mostrando cómo las fallas pueden encadenarse para obtener RCE en Ivanti EPMM. Los defensores observaron que aunque la biblioteca de terceros «hibernate-validator» se actualizó de la versión 6.0.22 a 6.2.5, aún se podían ejecutar comandos arbitrarios enviando una solicitud HTTP GET especialmente diseñada a «/mifs/admin/rest/api/v2/featureusage.» También se aclaró que CVE-2025-4427 es menos una omisión de autenticación y más un fallo lógico, un problema de «orden de operaciones» donde los límites de seguridad se aplican incorrectamente en el código. Los investigadores cuestionaron si esto es realmente una vulnerabilidad de terceros o el resultado del uso inseguro de funciones conocidas como riesgosas.
Dado que las vulnerabilidades afectan las versiones de EPMM hasta 11.12.0.4, 12.3.0.1, 12.4.0.1 y 12.5.0.0, los defensores recomiendan aplicar prontamente las correcciones disponibles en las próximas versiones de parche abordadas por el proveedor. Más específicamente, actualizar a las versiones de software correspondientes, 11.12.0.5, 12.3.0.2, 12.4.0.2 y 12.5.0.1, actúa como una medida efectiva de mitigación para CVE-2025-4427 y CVE-2025-4428 para minimizar los riesgos de ataques de cadena de explotación. Plataforma SOC Prime equipa a organizaciones globales en diversos sectores industriales e investigadores individuales con un conjunto de productos de vanguardia impulsado por IA para defenderse proactivamente de amenazas cibernéticas de cualquier escala y sofisticación, incluyendo CVEs críticos y día cero que continúan surgiendo en software popular.
