Ivanti EPMM atingido por duas vulnerabilidades 0day exploradas ativamente

Usuários do Ivanti EPMM precisam urgentemente corrigir vulnerabilidades de 0day exploradas ativamente (CVE-2025-4427, CVE-2025-4428) que permitem execução remota de código pré-autenticado, alerta watchTowr.

Pesquisadores de segurança cibernética da watchTowr compartilharam detalhes de duas vulnerabilidades de segurança no software Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2025-4427 e CVE-2025-4428, que podem ser combinadas para obter controle total sobre os sistemas afetados e são ativamente exploradas por invasores.

O Ivanti EPMM é um sistema de solução de Gerenciamento de Dispositivos Móveis ( MDM ), crucial para a segurança empresarial, atuando como um ponto central para controlar a implantação de software e aplicar políticas nos dispositivos dos funcionários. No entanto, as falhas mencionadas estão transformando essa ferramenta de gerenciamento em um potencial ponto de entrada para agentes mal-intencionados. A análise da watchTowr, compartilhada com o Hackread.com, indica que a exploração dessas vulnerabilidades é surpreendentemente simples.

A primeira vulnerabilidade, CVE-2025-4427, é uma falha de bypass de autenticação , que permite que invasores acessem partes protegidas do sistema Ivanti EPMM sem a necessidade de credenciais de login adequadas. A segunda vulnerabilidade, CVE-2025-4428, é uma falha de execução remota de código (RCE) que, se explorada, pode permitir que invasores executem seu próprio código malicioso no servidor.

A própria Ivanti reconheceu a gravidade da combinação desses problemas, afirmando que "a exploração bem-sucedida pode levar à execução remota de código não autenticado". A empresa também relatou ter conhecimento de um "número muito limitado de clientes que foram explorados" desde que as vulnerabilidades foram divulgadas.

Isso sugere que, embora os ataques possam ser direcionados atualmente, eles podem se tornar mais disseminados. O watchTowr observa que, quando esses ataques direcionados se tornam públicos, é comum que os invasores iniciem a exploração em massa para encontrar quaisquer sistemas vulneráveis ​​restantes.

Curiosamente, a Ivanti afirmou que as vulnerabilidades não estão em seu próprio código, mas sim "associadas a duas bibliotecas de código aberto integradas ao EPMM". Eles enfatizaram que o uso de código aberto é uma prática padrão na indústria de tecnologia.

watchTowr descobriu uma vulnerabilidade RCE ( CVE-2025-4428 ) na biblioteca hibernate-validator, permitindo que invasores injetassem código malicioso por meio de um parâmetro chamado "format" em solicitações de API . A watchtower demonstrou essa vulnerabilidade com sucesso enviando uma solicitação web simples que executou um cálculo, comprovando que a injeção de código era possível. Além disso, eles conseguiram executar comandos do sistema, como criar um arquivo no servidor.

O bypass de autenticação ( CVE-2025-4427 ) é um problema de "ordem de operações" e não um bypass tradicional. Um parâmetro "format" criado em uma solicitação ao endpoint /api/v2/featureusage_history aciona o processo de validação vulnerável antes da verificação de autenticação, permitindo que um invasor não autenticado acione a vulnerabilidade de execução de código. A presença do parâmetro altera a ordem de processamento, eliminando a necessidade de login prévio.

O watchTowr encadeou com sucesso essas duas vulnerabilidades no servidor Ivanti EPMM enviando uma solicitação da web criada para o endpoint /rs/api/v2/featureusage com um parâmetro malicioso "format", permitindo que eles executassem comandos do sistema sem fazer login, criando assim um cenário RCE pré-autenticado.

Essas vulnerabilidades representam um risco crítico para organizações que utilizam as versões afetadas. Patches estão disponíveis para as versões 11.12.0.5, 12.3.0.2, 12.4.0.2 e 12.5.0, e organizações que utilizam versões mais antigas sem patches são aconselhadas a atualizar imediatamente.