CVE-2025-4427 및 CVE-2025-4428 탐지: 원격 코드 실행으로 이어지는 Ivanti EPMM 익스플로잇 체인
목차:
CVE-2025-31324의 공개에 이어 CVE-2025-31324, SAP NetWeaver에서 인증되지 않은 파일 업로드 취약성을 허용하는 RCE, Ivanti Endpoint Manager Mobile (EPMM) 소프트웨어에서 두 가지 보안 취약점이 추가로 발견되었습니다. CVE-2025-4427 및 CVE-2025-4428로 식별된 이러한 취약점은 인증 없이 취약한 기기에서 RCE를 달성하기 위해 함께 결합될 수 있습니다.
CVE-2025-4427 및 CVE-2025-4428 익스플로잇 체인 탐지
광범위하게 사용되는 소프트웨어의 취약성 급증 및 실제 공격에서의 빠른 무기화로 인해, 사전 위협 탐지의 필요성이 중요해졌습니다. 2025년 상반기 동안 NIST는 18,000개 이상의 취약성을 기록하였으며, 그 중 다수는 전 세계 SOC 팀의 한계를 이미 시험하고 있습니다. 사이버 위협이 더욱 정교해짐에 따라 초기 탐지는 공격자보다 앞서고 피해를 최소화하는 데 필수적입니다. more than 18,000 vulnerabilities, many of which are already testing the limits of SOC teams around the globe. As cyber threats grow more advanced, early detection becomes essential to staying ahead of attackers and minimizing damage.
SOC Prime 플랫폼에 지금 등록하세요 광범위한 컨텍스트가 풍부한 탐지 규칙 라이브러리에 액세스하시고, 새롭게 떠오르는 취약점을 활용한 공격보다 한 발짝 앞서 나가세요. 이 플랫폼은 최신 Ivanti EPMM 익스플로잇 체인(CVE-2025-4427, CVE-2025-4428)을 위한 큐레이션된 탐지를 제공하며, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 및 고급 위협 탐지를 포함한 종합적인 제품군으로 지원됩니다. 관련 탐지 스택을 탐색하려면 아래의 탐지 탐색 버튼을 클릭하세요.
보안 전문가들은 또한 Threat Detection Marketplace에서 “CVE-2025-4427” 및 “CVE-2025-4428” 태그를 사용하여 보다 타겟화된 콘텐츠를 검색할 수 있습니다. 취약점 악용과 관련된 더 넓은 범위의 탐지 규칙을 탐색하려면, “CVE” 태그를 적용하여 전체 컬렉션을 확인하십시오.
추가적으로, 보안 전문가들은 Uncoder AI – 위협 정보를 기반으로 하는 탐지 엔지니어링을 위한 사설 IDE 및 공동 조종사 – 를 사용하여 위협 조사를 간소화 할 수 있습니다. 이 툴은 AI 기능상 토큰 제한 없이 완전히 무료로 제공됩니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 성능이 최적화된 쿼리로 빠른 IOC 검색을 활성화하며, ATT&CK 태그를 예측하고, 쿼리 코드를 AI 팁으로 최적화하며, 여러 SIEM, EDR 및 데이터 레이크 언어 간에 변환할 수 있습니다.
CVE-2025-4427 및 CVE-2025-4428 분석
Ivanti는 최근 API 구성 요소의 EPMM 소프트웨어에서 새로 식별된 두 가지 취약점을 해결했으며, 이는 인증 없이 패치되지 않은 기기에서 원격으로 코드를 실행할 수 있도록 공격자에게 녹색 신호를 줍니다. 이러한 결점에는 CVE-2025-4427 (CVSS 점수 5.3)인 인증 우회로 공격자가 유효한 자격 증명 없이 제한된 리소스에 액세스할 수 있도록 하며, CVE-2025-4428 (CVSS 점수 7.2)에 달하는 RCE 취약점으로, 공격자가 영향을 받은 시스템에서 임의의 코드를 실행할 수 있습니다.
공급 업체는 취약점 공개 시점에 영향받은 고객 수가 제한적이었다고 주장했습니다. 이러한 보안 문제는 EPMM에서 사용되는 두 개의 오픈 소스 라이브러리에 연결되며, 이를 사용하는 다른 소프트웨어가 영향을 받는지는 불분명합니다. 회사는 Portal ACL 또는 외부 WAF를 통한 API 필터링을 사용하는 고객이 훨씬 낮은 위험에 직면하게 된다고 강조했습니다. 이 문제는 온프레미스 EPMM 인스턴스에만 영향을 미치며 Ivanti Neurons for MDM, Ivanti Sentry 또는 기타 제품 제공에는 영향을 미치지 않습니다.
한편, watchTower Labs의 연구원들은 GitHub에 PoC(Pre-Auth RCE Chain 1일 탐지 인공물 생성 도구)를 게시하여 Ivanti EPMM에서 RCE를 획득하기 위해 결함이 어떻게 연결될 수 있는지 보여주었습니다. 수비자들은 “hibernate-validator”라는 제3자 라이브러리가 버전 6.0.22에서 6.2.5로 업데이트되었을지라도, 특수하게 조작된 HTTP GET 요청을 “/mifs/admin/rest/api/v2/featureusage”에 보내 임의의 명령을 여전히 실행할 수 있다고 관찰했습니다. 또한, CVE-2025-4427은 인증 우회보다는 논리적 결함, 즉 코드에서 잘못 적용된 보안 경계의 “연산 순서” 문제라는 점을 명확히 했습니다. 연구원들은 이것이 진정으로 제3자 취약점인지 아니면 알려진 위험한 함수의 안전하지 않은 사용의 결과인지에 대해 질문했습니다.
취약점이 EPMM 11.12.0.4, 12.3.0.1, 12.4.0.1 및 12.5.0.0 버전에 영향을 미침에 따라, 수비자들은 다음에 제공되는 패치를 신속히 적용할 것을 권장합니다. 패치 릴리스 에 반영된 그대로 공급 업체에 의해 다루어졌습니다. 더 구체적으로, 11.12.0.5, 12.3.0.2, 12.4.0.2, 12.5.0.1 버전으로 소프트웨어를 업그레이드하는 것이 익스플로잇 체인 공격의 위험을 최소화하는 효과적인 CVE-2025-4427 및 CVE-2025-4428 완화 조치로 작용합니다. SOC Prime 플랫폼 은 다양한 산업 분야의 글로벌 조직과 개별 연구자에게 모든 규모와 정교함의 사이버 위협, 특히 계속해서 인기 있는 소프트웨어에서 새롭게 등장하는 중요한 CVE 및 제로데이에 대항하여 적극적으로 방어할 수 있는 최첨단 AI 기반 제품군을 제공합니다.
