Rilevamento CVE-2025-4427 e CVE-2025-4428: Catena di Exploit Ivanti EPMM che Conduce a RCE
Indice:
A seguito della divulgazione di CVE-2025-31324, una vulnerabilità di caricamento di file non autenticata in SAP NetWeaver che abilita RCE, sono emerse altre due falle di sicurezza nel software Ivanti Endpoint Manager Mobile (EPMM). Identificate come CVE-2025-4427 e CVE-2025-4428, queste vulnerabilità possono essere combinate per ottenere RCE su dispositivi vulnerabili senza richiedere autenticazione.
Rileva la Catena di Sfruttamento CVE-2025-4427 e CVE-2025-4428
Con il forte aumento delle vulnerabilità nei software ampiamente utilizzati e la loro rapida trasformazione in armi in attacchi reali, la necessità di un rilevamento proattivo delle minacce è vitale. Nella prima metà del 2025, NIST ha registrato oltre 18.000 vulnerabilità, molte delle quali stanno già mettendo alla prova i limiti dei team SOC in tutto il mondo. Man mano che le minacce informatiche diventano più avanzate, il rilevamento precoce diventa essenziale per stare davanti agli attaccanti e minimizzare i danni.
Registrati ora sulla piattaforma SOC Prime per accedere a un vasto archivio di regole di rilevamento arricchite di contesto, aiutandoti a rimanere un passo avanti rispetto agli attacchi che sfruttano nuove vulnerabilità. La piattaforma offre rilevamenti curati per la catena di exploit più recente di Ivanti EPMM (CVE-2025-4427, CVE-2025-4428), supportata da una suite completa di prodotti per l’ingegneria del rilevamento con IA, la ricerca automatizzata delle minacce e il rilevamento avanzato delle minacce. Clicca il Esplora Rilevamenti bottone qui sotto per immergerti nello stack di rilevamento pertinente.
I professionisti della sicurezza possono anche navigare nel Threat Detection Marketplace utilizzando i tag “CVE-2025-4427” e “CVE-2025-4428” per contenuti più mirati. Per esplorare un insieme più ampio di regole di rilevamento relative allo sfruttamento delle vulnerabilità, applica semplicemente il tag “CVE” per visualizzare l’intera collezione.
Inoltre, i professionisti della sicurezza possono ottimizzare l’investigazione delle minacce utilizzando Uncoder AI – un IDE privato e co-pilota per l’ingegneria del rilevamento delle minacce – ora completamente gratuito e disponibile senza limiti sui token per le funzionalità AI. Genera algoritmi di rilevamento dai rapporti di minacce grezzi, abilita rapide scansioni IOC in query ottimizzate per le prestazioni, predici i tag ATT&CK, ottimizza il codice delle query con suggerimenti AI, e traducilo tra i diversi linguaggi SIEM, EDR e Data Lake.
Analisi di CVE-2025-4427 e CVE-2025-4428
Ivanti ha affrontato recentemente due vulnerabilità appena identificate nel componente API del suo software EPMM, che possono essere combinate, dando agli attaccanti il via libera per eseguire codice da remoto su dispositivi non aggiornati senza autenticazione. Le falle includono CVE-2025-4427 (con un punteggio CVSS di 5,3), un bypass dell’autenticazione che permette agli attaccanti di accedere a risorse riservate senza credenziali valide, e CVE-2025-4428 (con un punteggio CVSS pari a 7,2), una falla RCE che consente agli avversari di eseguire codice arbitrario sui sistemi affetti.
Il fornitore ha affermato che solo un numero limitato di clienti è stato colpito al momento della divulgazione della vulnerabilità. I problemi di sicurezza sono legati a due librerie open-source utilizzate in EPMM, e non è chiaro se anche altri software che le utilizzano siano colpiti. L’azienda ha sottolineato che i clienti che utilizzano il filtraggio API, tramite ACL del portale o un WAF esterno, affrontano un rischio significativamente minore. Il problema riguarda solo le istanze on-premises di EPMM e non ha impatto su Ivanti Neurons for MDM, Ivanti Sentry o qualsiasi altra offerta di prodotto.
Nel frattempo, i ricercatori di watchTower Labs hanno pubblicato un PoC (Pre-Auth RCE Chain 1day Detection Artifact Generator Tool) su GitHub, mostrando come le falle possano essere combinate per ottenere RCE in Ivanti EPMM. I difensori hanno osservato che, sebbene la libreria di terze parti “hibernate-validator” sia stata aggiornata dalla versione 6.0.22 alla 6.2.5, i comandi arbitrari potevano ancora essere eseguiti inviando una richiesta GET HTTP appositamente costruita a “/mifs/admin/rest/api/v2/featureusage.” È stato anche chiarito che CVE-2025-4427 è meno un bypass di autenticazione e più un difetto logico, un problema di “ordine delle operazioni”, dove i confini di sicurezza sono applicati in modo non corretto nel codice. I ricercatori si sono chiesti se questa è veramente una vulnerabilità di terze parti o il risultato dell’uso non sicuro di funzioni note come rischiose.
Poiché le vulnerabilità affliggono le versioni di EPMM fino alla 11.12.0.4, 12.3.0.1, 12.4.0.1 e 12.5.0.0, i difensori raccomandano di applicare prontamente le correzioni disponibili nei prossimi rilasci di patch affrontate dal fornitore. Più specificamente, l’aggiornamento alle corrispondenti versioni software, 11.12.0.5, 12.3.0.2, 12.4.0.2 e 12.5.0.1, serve come misura efficace di mitigazione CVE-2025-4427 e CVE-2025-4428 per minimizzare i rischi degli attacchi a catena di exploit. Piattaforma SOC Prime fornisce alle organizzazioni globali in vari settori industriali e ai singoli ricercatori una suite di prodotti all’avanguardia, basata sull’IA, per difendersi proattivamente contro le minacce informatiche di qualsiasi scala e sofisticazione, incluse CVE critiche e zero-day che emergono continuamente nei software popolari.
