Detecção de CVE-2025-4427 e CVE-2025-4428: Cadeia de Exploits do Ivanti EPMM Levando a RCE
Índice:
Após a divulgação da CVE-2025-31324, uma vulnerabilidade de envio de arquivos não autenticado no SAP NetWeaver que permite RCE, duas outras falhas de segurança surgiram no software Ivanti Endpoint Manager Mobile (EPMM). Identificadas como CVE-2025-4427 e CVE-2025-4428, essas vulnerabilidades podem ser encadeadas para alcançar RCE em dispositivos vulneráveis sem exigir autenticação.
Detectar Cadeia de Exploração CVE-2025-4427 e CVE-2025-4428
Com o aumento acentuado de vulnerabilidades em softwares amplamente utilizados e sua rápida transformação em armas em ataques no mundo real, a necessidade de detecção proativa de ameaças é vital. No primeiro semestre de 2025, o NIST registrou mais de 18.000 vulnerabilidades, muitas das quais já estão testando os limites das equipes de SOC ao redor do mundo. À medida que as ameaças cibernéticas se tornam mais avançadas, a detecção precoce torna-se essencial para permanecer à frente dos atacantes e minimizar danos.
Registre-se agora na Plataforma SOC Prime para acessar uma extensa biblioteca de regras de detecção enriquecidas com contexto, ajudando você a ficar um passo à frente dos ataques que exploram vulnerabilidades emergentes. A plataforma conta com detecções selecionadas para a cadeia de exploração Ivanti EPMM mais recente (CVE-2025-4427, CVE-2025-4428), apoiada por uma suíte completa de produtos para engenharia de detecção com IA, caça automática de ameaças e detecção avançada de ameaças. Clique no botão Explorar Detecções abaixo para mergulhar na pilha de detecções relevante.
Os profissionais de segurança também podem navegar pelo Marketplace de Detecção de Ameaças usando as tags “CVE-2025-4427” e “CVE-2025-4428” para conteúdo mais direcionado. Para explorar um conjunto mais amplo de regras de detecção relacionadas à exploração de vulnerabilidades, basta aplicar a tag “CVE” para ver a coleção completa.
Além disso, os profissionais de segurança podem simplificar a investigação de ameaças usando o Uncoder AI – um IDE privado & co-piloto para engenharia de detecção informada por ameaças – agora completamente grátis e disponível sem limites de tokens nas funcionalidades de IA. Gere algoritmos de detecção a partir de relatórios de ameaças brutos, habilite varreduras rápidas de IOC em consultas otimizadas para desempenho, preveja tags ATT&CK, otimize o código das consultas com dicas de IA e traduza-o em múltiplas linguagens de SIEM, EDR e Data Lake.
Análise de CVE-2025-4427 e CVE-2025-4428
A Ivanti recentemente abordou duas vulnerabilidades recém-identificadas no componente API de seu software EPMM, que podem ser encadeadas, dando aos atacantes sinal verde para executar código remotamente em dispositivos não corrigidos sem autenticação. As falhas incluem CVE-2025-4427 (com um escore CVSS de 5.3), uma falha de autenticação que permite que atacantes acessem recursos restritos sem credenciais válidas, e CVE-2025-4428 (com um escore CVSS atingindo 7.2), uma falha de RCE que permite que adversários executem código arbitrário em sistemas afetados.
O fornecedor afirmou que apenas um número limitado de clientes foi impactado no momento da divulgação da vulnerabilidade. Os problemas de segurança estão vinculados a duas bibliotecas de código aberto usadas no EPMM, e permanece incerto se outros softwares que as utilizam também são afetados. A empresa enfatizou que clientes usando filtragem de API, via ACLs do Portal ou um WAF externo, enfrentam um risco significativamente menor. O problema afeta apenas as instâncias on-premises do EPMM e não impacta o Ivanti Neurons para MDM, Ivanti Sentry ou qualquer outra oferta de produtos.
Enquanto isso, os pesquisadores do watchTower Labs publicaram um PoC (Ferramenta Geradora de Artefatos de Detecção de Cadeia de RCE Pré-Autenticação 1day) no GitHub, mostrando como as falhas podem ser encadeadas para obter RCE no Ivanti EPMM. Os defensores observaram que, embora a biblioteca de terceiros “hibernate-validator” tenha sido atualizada da versão 6.0.22 para 6.2.5, comandos arbitrários ainda poderiam ser executados enviando uma solicitação HTTP GET especialmente criada para “/mifs/admin/rest/api/v2/featureusage.” Também foi esclarecido que o CVE-2025-4427 é menos uma falha de autenticação e mais uma falha lógica, um problema de “ordem de operações”. onde os limites de segurança são aplicados incorretamente no código. Pesquisadores questionaram se isso é realmente uma vulnerabilidade de terceiros ou resultado do uso inseguro de funções conhecidas como arriscadas.
Como as vulnerabilidades afetam versões do EPMM até 11.12.0.4, 12.3.0.1, 12.4.0.1 e 12.5.0.0, os defensores recomendam aplicar prontamente as correções disponíveis nas próximas releases de patches abordadas pelo fornecedor. Mais especificamente, atualizar para as versões correspondentes do software, 11.12.0.5, 12.3.0.2, 12.4.0.2 e 12.5.0.1, serve como uma medida eficaz de mitigação da CVE-2025-4427 e CVE-2025-4428 para minimizar os riscos de ataques com cadeia de exploração. Plataforma SOC Prime capacita organizações globais em diversos setores industriais e pesquisadores individuais com uma suíte de produtos de ponta, movida por IA, para defender proativamente contra ameaças cibernéticas de qualquer escala e sofisticação, incluindo CVEs críticas e zero-days que estão continuamente emergindo em softwares populares.
