ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Perşembe günü, Ivanti Endpoint Manager Mobile’da (EPMM) güvenlik kusurlarının kullanılmasının ardından isimsiz bir kuruluşun ağında keşfedilen iki kötü amaçlı yazılım setinin ayrıntılarını yayınladı.
CISA, “Her set, siber tehdit aktörlerinin güvenliği ihlal edilmiş sunucuda keyfi kod çalıştırmasını sağlayan kötü niyetli dinleyiciler için yükleyiciler içeriyor.” Dedi.
Saldırıda sömürülen güvenlik açıkları arasında, her ikisi de Mayıs 2025’te Ivanti tarafından ele alınmadan önce sıfır gün olarak istismar edilen CVE-2025-4427 ve CVE-2025-4428 bulunmaktadır.
CVE-2025-4427, saldırganların korunan kaynaklara erişmesini sağlayan bir kimlik doğrulama baypası ile ilgili olsa da, CVE-2025-4428 uzaktan kod yürütülmesini sağlar. Sonuç olarak, iki kusur, kimlik doğrulaması olmadan savunmasız bir cihazda keyfi kod yürütmek üzere zincirlenebilir.
CISA’ya göre, tehdit aktörleri, bir kavram kanıtı (POC) istismarının yayınlanmasının ardından 15 Mayıs 2025 civarında iki güvenlik açığını tarayarak EPMM’yi çalıştıran sunucuya erişim kazandı.
Bu, saldırganların sistem bilgilerini toplamayı, kötü amaçlı dosyaları indirmeyi, kök dizinini listelemeyi, ağı haritalamayı, bir toplama oluşturmak için komut dosyalarını yürütmeyi ve hafif dizin erişim protokolü (LDAP) kimlik bilgilerini dökmeyi mümkün kılan komutları çalıştırmasına izin verdi.
Daha fazla analiz, siber tehdit aktörlerinin iki set kötü amaçlı dosya kümesi “/TMP” dizine bıraktığını belirledi, bu da her biri uzlaşmış sunucuda keyfi kod enjekte ederek ve çalıştırarak kalıcılığı sağladı:
- Set 1 – Web-Install.jar (aka Loader 1), RECTEDUTIL.class ve SecurityHandlerWanListener.class
- Set 2 – Web-Install.jar (aka Loader 2) ve WebandroidAppInstaller.class
Özellikle, her iki kümede de belirli HTTP isteklerini kesen ve sonraki yürütme için yükleri çözmek ve şifresini çözmek için işleyen kötü amaçlı derlenmiş bir Java sınıfı dinleyicisi başlatan bir yükleyici içerir.
Cisa, “RECTEDUTIL.Class, Java nesnelerini Apache Tomcat’taki kötü niyetli dinleyici SecurityHandlerWanListener’ı enjekte etmek ve yönetmek için manipüle ediyor.” Dedi. “[SecurityHandlerWanListener.class] Belirli HTTP isteklerini kesen ve onları dinamik olarak yeni bir sınıf oluşturan ve yürüten yükleri çözmek ve şifresini çözmek için işleyen kötü niyetli dinleyici. “
WeBandroidAppInstaller.class ise, içeriği yeni bir sınıfı tanımlamak ve uygulamak için kullanılan sabit kodlu bir anahtar kullanarak bir şifre parametresini talepten alarak ve şifresini çözerek farklı şekilde çalışır. Yeni sınıfın yürütülmesinin sonucu daha sonra aynı sabit kodlu anahtar kullanılarak şifrelenir ve şifrelenmiş çıktı ile bir yanıt oluşturur.
Sonuç olarak, saldırganların sunucuda keyfi kod enjekte etmesine ve yürütmesine izin vermesi, takip etkinliği ve kalıcılığını etkinleştirmesinin yanı sıra HTTP isteklerini ele geçirerek ve işleyerek verileri de açıklamasına izin vermesidir.
Bu saldırılara karşı korunmak için kuruluşların örneklerini en son sürümde güncellemeleri, şüpheli etkinlik belirtilerini izlemeleri ve mobil cihaz yönetimi (MDM) sistemlerine yetkisiz erişimi önlemek için gerekli kısıtlamaları uygulamaları tavsiye edilir.