CISA обнаружила две новые опасные уязвимости в Ivanti: срочно обновляйтесь

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) выпустило новое предупреждение об очередных серьёзных уязвимостях в популярном программном обеспечении Ivanti. По данным CISA, злоумышленники уже активно используют две уязвимости — CVE-2025-4427 и CVE-2025-4428 — и даже научились комбинировать их для сложных атак на корпоративные сети.

Обе опасности затрагивают Ivanti Endpoint Manager Mobile (EPMM), широко распространённое средство для администрирования мобильных устройств. Первая, CVE-2025-4427, — это возможность обойти аутентификацию в API-компоненте EPMM (версии 12.5.0.0 и более ранние). Фактически, злоумышленник может получить доступ к защищённым ресурсам, не имея на то права; по шкале опасности ей присвоено 7,5 из 10. Исправление выпустили в мае 2025 года. Вторая, CVE-2025-4428, ещё опаснее: она позволяет без всяких паролей удалённо выполнять произвольный код с помощью специально сформированных запросов к API. Её оценили в 8,8 из 10 — и тоже закрыли в мае 2025.

Эксперты CISA уточняют: нападавшие используют обе уязвимости вместе, чтобы внедрять вредоносное ПО. Первый тип вредоноса встраивается в сервер Apache Tomcat и перехватывает определённые HTTP-запросы, чтобы запускать любой Java-код. Второй действует по похожей схеме, но использует другой способ обработки зашифрованных паролей, передаваемых в HTTP-запросах.

Оба вредоноса доставлялись через технику Java Expression Language (EL) injection: хакеры использовали обычные GET-запросы, маскировали свою «доставку» с помощью кодировки base64, а потом собирали вредоносный код по кускам в системных временных папках. Такой подход помогает обходить классические средства защиты.

CISA не уточняет, кто стоит за атаками, и кто именно пострадал. Но специалисты The Register ссылаются на более ранние сообщения: возможно, в деле замешаны так называемые китайские хакеры, которых поддерживает государство, а целью атаки стала австралийская организация.