Détection de CVE-2025-4427 et CVE-2025-4428 : Chaîne d’exploitation Ivanti EPMM menant à une RCE
Table des matières :
À la suite de la divulgation de CVE-2025-31324, une vulnérabilité d’upload de fichier non authentifié dans SAP NetWeaver permettant RCE, deux autres failles de sécurité ont émergé dans le logiciel Ivanti Endpoint Manager Mobile (EPMM). Identifiées comme CVE-2025-4427 et CVE-2025-4428, ces vulnérabilités peuvent être enchaînées pour obtenir une exécution de code à distance (RCE) sur des appareils vulnérables sans nécessiter d’authentification.
Détecter la chaîne d’exploitation CVE-2025-4427 et CVE-2025-4428
Avec l’augmentation aiguë des vulnérabilités dans les logiciels largement utilisés et leur armement rapide dans les attaques réelles, la nécessité d’une détection proactive des menaces est vitale. Dans la première moitié de 2025, le NIST a enregistré plus de 18 000 vulnérabilités, dont beaucoup testent déjà les limites des équipes SOC à travers le monde. À mesure que les menaces cybernétiques deviennent plus avancées, une détection précoce devient essentielle pour rester en avance sur les attaquants et minimiser les dommages.
Inscrivez-vous maintenant sur la plateforme SOC Prime pour accéder à une vaste bibliothèque de règles de détection enrichies de contexte, vous aidant à rester un pas en avance sur les attaques exploitant des vulnérabilités émergentes. La plateforme propose des détections sélectionnées pour la dernière chaîne d’exploitation Ivanti EPMM (CVE-2025-4427, CVE-2025-4428), soutenue par une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces. Cliquez sur le bouton Explorez les Détections ci-dessous pour plonger dans la pile de détection pertinente.
Les professionnels de la sécurité peuvent également parcourir le Marketplace de Détection des Menaces en utilisant les tags « CVE-2025-4427 » et « CVE-2025-4428 » pour un contenu plus ciblé. Pour explorer un ensemble plus large de règles de détection liées à l’exploitation des vulnérabilités, appliquez simplement le tag « CVE » pour voir la collection complète.
De plus, les professionnels de la sécurité pourraient simplifier l’investigation des menaces en utilisant Uncoder AI – un IDE privé et co-pilote pour l’ingénierie de détection informée par les menaces – désormais entièrement gratuit et disponible sans limites de tokens sur les fonctionnalités IA. Générer des algorithmes de détection à partir de rapports de menace bruts, permettre des balayages rapides d’IOC dans des requêtes optimisées pour la performance, prévoir des tags ATT&CK, optimiser le code des requêtes avec des conseils IA, et le traduire à travers plusieurs langages SIEM, EDR et Data Lake.
Analyse de CVE-2025-4427 et CVE-2025-4428
Ivanti a récemment traité deux vulnérabilités nouvellement identifiées dans le composant API de son logiciel EPMM, qui peuvent être enchaînées, donnant aux attaquants le feu vert pour exécuter du code à distance sur des appareils non patchés sans authentification. Les failles incluent CVE-2025-4427 (avec un score CVSS de 5,3), un contournement d’authentification qui permet aux attaquants d’accéder à des ressources restreintes sans informations d’identification valides, et CVE-2025-4428 (avec un score CVSS atteignant 7,2), une faille RCE qui permet aux adversaires d’exécuter du code arbitraire sur les systèmes affectés.
Le fournisseur a affirmé qu’un nombre limité de clients était impacté au moment de la divulgation des vulnérabilités. Les problèmes de sécurité sont liés à deux bibliothèques open-source utilisées dans EPMM, et il n’est pas clair si d’autres logiciels les utilisant sont également affectés. L’entreprise a souligné que les clients utilisant le filtrage API, via des ACL de portail ou un WAF externe, courent un risque significativement moindre. Le problème affecte uniquement les instances EPMM sur site et n’impacte pas Ivanti Neurons for MDM, Ivanti Sentry, ou toute autre offre de produits.
Pendant ce temps, les chercheurs de watchTower Labs ont publié un PoC (Pre-Auth RCE Chain 1day Detection Artifact Generator Tool) sur GitHub, montrant comment les failles peuvent être enchaînées pour obtenir une RCE dans Ivanti EPMM. Les défenseurs ont observé que bien que la bibliothèque tierce « hibernate-validator » ait été mise à jour de la version 6.0.22 à 6.2.5, des commandes arbitraires pourraient encore être exécutées en envoyant une requête HTTP GET spécialement conçue à « /mifs/admin/rest/api/v2/featureusage. » Il a également été précisé que CVE-2025-4427 est moins un contournement d’authentification qu’une faille logique, un problème « d’ordre des opérations » où les frontières de sécurité sont mal appliquées dans le code. Les chercheurs se sont interrogés sur la question de savoir s’il s’agit vraiment d’une vulnérabilité tierce ou d’un résultat de l’utilisation non sécurisée de fonctions connues pour être risquées.
Comme les vulnérabilités affectent les versions EPMM jusqu’à 11.12.0.4, 12.3.0.1, 12.4.0.1 et 12.5.0.0, les défenseurs recommandent d’appliquer rapidement les correctifs disponibles dans les prochains releases de correctifs traitées par le fournisseur. Plus précisément, la mise à niveau vers les versions logicielles correspondantes, 11.12.0.5, 12.3.0.2, 12.4.0.2 et 12.5.0.1, constitue une mesure efficace de mitigation CVE-2025-4427 et CVE-2025-4428 pour minimiser les risques d’attaques en chaîne d’exploitation. La plate-forme SOC Prime équipe les organisations mondiales dans des secteurs industriels variés et des chercheurs individuels d’une suite de produits de pointe alimentée par l’IA pour se défendre de manière proactive contre les menaces cybernétiques de toute envergure et sophistication, y compris les CVE critiques et zero-days qui émergent continuellement dans les logiciels populaires.
