Ivanti EPMM est touché par deux vulnérabilités zero-day activement exploitées

Les utilisateurs d'Ivanti EPMM doivent de toute urgence appliquer des correctifs contre les vulnérabilités 0day activement exploitées (CVE-2025-4427, CVE-2025-4428) qui permettent l'exécution de code à distance pré-authentifié, prévient watchTowr.

Les chercheurs en cybersécurité de watchTowr ont partagé les détails de deux vulnérabilités de sécurité dans le logiciel Ivanti Endpoint Manager Mobile (EPMM), identifiées comme CVE-2025-4427 et CVE-2025-4428, qui peuvent être combinées pour obtenir un contrôle complet sur les systèmes affectés et sont activement exploitées par les attaquants.

Ivanti EPMM est une solution de gestion des appareils mobiles ( MDM ), essentielle à la sécurité des entreprises. Elle sert de point central pour contrôler le déploiement des logiciels et appliquer les politiques sur les appareils des employés. Cependant, les failles mentionnées ci-dessus font de cet outil de gestion une porte d'entrée potentielle pour les acteurs malveillants. L'analyse de watchTowr, partagée avec Hackread.com, indique que l'exploitation de ces vulnérabilités est étonnamment simple.

La première vulnérabilité, CVE-2025-4427, est une faille de contournement d'authentification qui permet aux attaquants d'accéder aux parties protégées du système Ivanti EPMM sans avoir besoin des identifiants de connexion appropriés. La seconde vulnérabilité, CVE-2025-4428, est une faille d'exécution de code à distance (RCE) qui, si elle est exploitée, peut permettre aux attaquants d'exécuter leur propre code malveillant sur le serveur.

Ivanti a elle-même reconnu la gravité de ces problèmes combinés, affirmant qu'une exploitation réussie pourrait conduire à l'exécution de code à distance non authentifié. Elle a également signalé avoir connaissance d'un nombre très limité de clients ayant été exploités depuis la divulgation des vulnérabilités.

Cela suggère que même si les attaques peuvent être ciblées actuellement, elles pourraient devenir plus répandues. watchTowr note qu'une fois que ces attaques ciblées deviennent publiques, il est courant que les attaquants commencent une exploitation de masse pour trouver les systèmes vulnérables restants.

Il est intéressant de noter qu'Ivanti a déclaré que les vulnérabilités ne se trouvent pas dans son propre code, mais sont « associées à deux bibliothèques open source intégrées à EPMM ». L'entreprise a souligné que l'utilisation de code open source est une pratique courante dans le secteur technologique.

watchTowr a découvert une vulnérabilité RCE ( CVE-2025-4428 ) dans la bibliothèque hibernate-validator, permettant aux attaquants d'injecter du code malveillant via un paramètre appelé « format » dans les requêtes API . watchtower a démontré cette vulnérabilité avec succès en envoyant une simple requête web exécutant un calcul, prouvant ainsi la possibilité d'une injection de code. De plus, ils pouvaient exécuter des commandes système, comme créer un fichier sur le serveur.

Le contournement de l'authentification ( CVE-2025-4427 ) est un problème d'ordre des opérations plutôt qu'un contournement traditionnel. Un paramètre « format » spécialement conçu dans une requête adressée au point de terminaison /api/v2/featureusage_history déclenche le processus de validation vulnérable avant la vérification de l'authentification, permettant ainsi à un attaquant non authentifié de déclencher la vulnérabilité d'exécution de code. La présence de ce paramètre modifie l'ordre de traitement, éliminant ainsi la nécessité de se connecter au préalable.

watchTowr a réussi à enchaîner ces deux vulnérabilités dans le serveur Ivanti EPMM en envoyant une requête Web conçue au point de terminaison /rs/api/v2/featureusage avec un paramètre « format » malveillant, leur permettant d'exécuter des commandes système sans se connecter, créant ainsi un scénario RCE pré-authentifié.

Ces vulnérabilités représentent un risque critique pour les organisations utilisant les versions concernées. Des correctifs sont disponibles pour les versions 11.12.0.5, 12.3.0.2, 12.4.0.2 et 12.5.0. Il est conseillé aux organisations utilisant des versions antérieures non corrigées de procéder immédiatement à la mise à jour.