Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ivanti Endpoint Manager mobil (EPMM) sistemlerini hedefleyen sofistike kötü amaçlı yazılım kampanyaları hakkında kritik bir uyarı yayınladı.
Siber suçlular, hedeflenen sunucularda tam sistem uzlaşması ve keyfi kod yürütülmesini sağlayan gelişmiş kalıcı tehditleri dağıtmak için CVE-2025-4427 ve CVE-2025-4428 olmak üzere iki kritik güvenlik açıkından aktif olarak yararlanmaktadır.
Saldırı kampanyası, Ivanti’nin 13 Mayıs 2025’teki güvenlik açıklarını açıklamasından kısa bir süre sonra ortaya çıktı ve tehdit aktörleri, kavram kanıtı kodunun yayınlanmasının ardından 15 Mayıs 2025 civarında sömürüye başlıyor.
Güvenlik açıkları, mobil cihaz yönetimi altyapısına dayanan kuruluşlar için önemli bir saldırı yüzeyini temsil eden 11.12.0.4 ve önceki, 12.3.0.1 ve prior, 12.4.0.1 ve prior ve Prior ve Prior dahil olmak üzere tüm Ivanti EPMM sürümlerini etkiler.
Kötü niyetli aktörler, EPMM dağıtımlarına yetkisiz erişim elde etmek için bir kod enjeksiyon kusuru olan CVE-2025-4428 olan bir kimlik doğrulama baypas güvenlik açığı olan CVE-2025-4427’yi zincirleyerek sofistike teknikler gösterir.
Sistemin içine girdikten sonra, saldırganlar /mifs/rs/api/v2/ HTTP Get isteklerini kullanarak uç nokta, ?format= Parametre, sistem bilgilerini toplamalarını, kötü niyetli yükleri indirmelerini, ağ kaynaklarını numaralandırmasını ve LDAP kimlik bilgilerini çıkarmalarını sağlar.
CISA Cyber ekip analistleri, araştırmaları sırasında her biri sofistike yükleyiciler ve tehlikeli altyapıya kalıcı erişimi korumak için tasarlanmış kötü niyetli dinleyiciler içeren iki farklı kötü amaçlı yazılım seti belirledi.
Birincisi üç bileşenden oluşur: Loader 1 (Web-Install.jar), RECTEDUTIL.Class ve SecurityHandlerWanListener.class, ikincisi ise Yükleyici 2 (Web-Install.jar) ve WebandroidAppInstaller.class içerir.
Tehdit aktörleri, güvenlik kontrollerini atlamak ve kötü amaçlı yazılımlarını etkili bir şekilde sunmak için ileri kaçaklama teknikleri kullanırlar.
Saldırganlar, güvenlik uyarılarını tetikleyebilecek eksiksiz kötü amaçlı dosyalar yüklemek yerine, yüklerini birden çok temel kodlu parçaya ayırır ve her segmenti ayrı HTTP istekleri aracılığıyla iletir.
Bu yaklaşım ikili amaçlara hizmet eder: imza tabanlı algılama sistemlerini atlatmak ve başarılı kötü amaçlı yazılım dağıtımını önleyebilecek dosya boyutu sınırlamalarından kaçınmak.
| Güvenlik açığı | CWE sınıflandırması | Saldırı vektörü | CVSS Etkisi |
|---|---|---|---|
| CVE-2025-4427 | Alternatif Yol Kullanarak Kimlik Doğrulama Bypass | Uzak | Yüksek/yüksek/yüksek |
| CVE-2025-4428 | Kod enjeksiyonu | Uzak | Yüksek/yüksek/yüksek |
Gelişmiş yük sunumu ve kalıcılık mekanizmaları
Kötü amaçlı yazılım dağıtım süreci, tehdit aktörlerinin tehlikeye atılan sistemler üzerinde kalıcılığı nasıl kurdukları ve sürdürmeleri konusunda dikkate değer bir teknik karmaşıklık sergilemektedir.
Saldırı, kötü niyetli kavanoz dosyaları oluşturan Java İfade Dili enjeksiyon teknikleriyle başlar. /tmp Metodik yığın tabanlı bir rekonstrüksiyon işlemi ile dizin.
İlk yük teslimatı için saldırganlar, BaseOutputStream nesneleri oluşturan Java EL enjeksiyon kodu içeren HTTP, BaseOn64 kodlu kötü amaçlı yazılım segmentlerini doğrudan hedef sisteme yazmak için toplar.
Kötü niyetli istek yapısı şu deseni izler: GET /mifs/rs/api/v2/featureusage?format=${""getClass().forName("java.io.FileOutputStream").getConstructor("".getClass(),"".getClass().forName("[Z").getComponentType()).newInstance("/tmp/web-install.jar",true).write("".getClass().forName("java.util.Base64").getMethod("getDecoder").invoke(null).decode("[BASE64_CHUNK]"))}.
Bu teknik, kötü amaçlı yazılımın hedef sistemdeki tam yürütülebilir dosyaları yeniden yapılandırırken imza tabanlı algılamadan kaçınmasını sağlar.
Kötü amaçlı yazılım bileşenleri başarıyla dağıtıldıktan sonra, Set 1, gelişmiş üç aşamalı bir işlemle çalışır.
Loader 1, daha sonra Java nesnelerini SecurityHandlerWanListener’ı tehlikeye atılan sistemde çalışan Apache Tomcat sunucusuna enjekte etmek için manipüle eden RECTEDUTIL.class içerir ve dinamik olarak yükler.
RECTEDUTIL.Class bileşeni, Java Geliştirme Kiti modülü kısıtlamalarını atlar, nesne bağlamları yoluyla yineleyebilir ve kötü niyetli dinleyici sınıfını meşru Junit çerçeve bileşenleri olarak maskelenen sert kodlu dizeleri kullanarak yüklemeye çalışır.
SecurityHandlerWanListener, önceden belirlenmiş kimlik doğrulama jetonları içeren belirli HTTP isteklerini ele geçirerek kalıcı bir arka kapı oluşturur.
Dinleyici, “Pass 7C6A8867D728C3BB”, bir “yönlendirici” başlık ve “https: // www başlık değerini içeren istekler için monitörler[.]Live.com ”.
Bu koşullar karşılandığında, kötü amaçlı yazılım, talep akışından baz64 kodlu yükleri alır, bunları kodlar ve depolanan anahtarla AES şifrelemesini kullanarak verileri şifreler eder ve keyfi kod yürütülmesini sağlayan yeni Java sınıfı dosyaları oluşturur.
| Kötü amaçlı yazılım bileşeni | Boyut (bayt) | Birincil işlev | Şifreleme yöntemi |
|---|---|---|---|
| Yükleyici 1 (Web-Install.jar) | 30.996 | RECTEDUTIL.Class içerir | Base64 Kodlama |
| Yansıtma | 11.886 | SecurityHandlerWanListener enjekte eder | GZIP Sıkıştırma |
| SecurityHandlerWanListener.class | 4,690 | HTTP isteği müdahalesi | 7C6A8867D728C3BB anahtarlı AES |
| WeBandroidAppInstaller.class | 16.120 | Yük işleme | 3C6E0B8A9C15224A anahtarlı AES |
Set 2, çalışma zamanında WeBandroidAppInstaller.class içeren yükleyici 2 ile daha akıcı ancak eşit derecede etkili bir yaklaşımla çalışır.
Bu bileşen, meşru com.mobileiron.service paketinin bir parçası olarak maskelenir ve HTTP isteklerini “Application/x-www-form-urlencoded” içeren belirli içerik tipi başlıklara sahip.
Kötü amaçlı yazılım, gelen isteklerden şifre parametrelerini alır, Base64 kod çözme ve AES şifre çözme gerçekleştirir ve sert kodlu “3C6E0B8A9C15224A” anahtarı kullanarak ve şifreli talimatlara dayanan dinamik olarak yeni kötü amaçlı sınıflar oluşturur.
Bu saldırıların sofistike doğası, tehdit aktörlerinin Java tabanlı kurumsal uygulamaları derinlemesine anlamalarını ve kalıcı erişim için karmaşık yazılım mimarilerini kullanma yeteneklerini göstermektedir.
Kuruluşlar, Ivanti EPMM kurulumlarını derhal en son yamalı sürümlere yükseltmeli ve mobil cihaz yönetim sistemleri için ek izleme uygulamalı ve bunlara gelişmiş güvenlik kontrolleri ve sürekli gözetim gerektiren yüksek değerli varlıklar olarak muamele etmelidir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.