Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), vahşi doğada aktif sömürü kanıtı göstererek, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna Ivanti Endpoint Manager Mobile’ı (EPMM) etkileyen iki kritik sıfır günlük güvenlik açığı ekledi.
Kusurlar CVE-2025-4427 ve CVE-2025-4428, sırasıyla kimlik doğrulama bypass ve uzaktan kod yürütmeyi etkinleştirir ve yaygın olarak kullanılan açık kaynak kütüphanelerinin güvensiz uygulamalarından kaynaklanır.
Federal ajanslar ve özel kuruluşlar, 22-01 bağlayıcı operasyonel direktif altında 9 Haziran 2025’e kadar hafifletmeler uygulamalıdır.
.png
)
CISA’nın KEV katalog girişi, küresel kuruluşlar için mobil cihaz dağıtımını, güvenlik politikalarını ve uygulama yönetimini işleyen Ivanti’nin kurumsal hareketlilik yönetimi çözümündeki bu güvenlik açıklarının ciddiyetini vurgulamaktadır.
İlk kusur, CVE-2025-4427, kimlik doğrulanmamış saldırganların, yay çerçevesinin yanlış yapılandırılması nedeniyle EPMM’nin API bileşenindeki kimlik doğrulama mekanizmalarını atlamasına izin verir.
Bu güvenlik açığı (CWE-288), kimlik bilgileri olmadan hassas idari arayüzlere veya kullanıcı verilerine erişime izin verebilir.
İkinci güvenlik açığı olan CVE-2025-4428, kimlik doğrulamalı saldırganların Hibernate Validator kütüphanesindeki (CWE-94) yanlış bir doğrulama işlemi yoluyla API aracılığıyla keyfi kod yürütmesini sağlar.
Bu kod enjeksiyon kusuru, tehdit aktörlerinin ayrıcalıkları artırmasına, kötü amaçlı yazılımları dağıtmasına veya verileri tehlikeye atılmış sistemlerden dışarı atmasına izin verebilir.
Her iki güvenlik açığı henüz fidye yazılımı kampanyalarıyla bağlantılı olmasa da, kombinasyonları başlangıç erişim ve yanal hareket için güçlü bir saldırı vektörü oluşturur.
Sömürü yollarının teknik analizi
CVE-2025-4427’deki kimlik doğrulama bypass, Spring Framework’ün güvenlik bağlamından, API istek başlıklarını doğru bir şekilde doğrulamamadan kaynaklanır ve saldırganların oturum belirteçlerini taklit etmesine veya uç nokta izinlerini manipüle etmesine izin verir.
Güvenlik araştırmacıları, bu kusurun EPMM’nin idari uç noktalarını hedefleyen hazırlanmış HTTP talepleri ile kullanılabileceğini ve potansiyel olarak diğer güvenlik açıklarıyla birleştirilirse tam sistem uzlaşmasına yol açabileceğini belirtiyor.
CVE-2025-4428’in Kod Enjeksiyon Güvenlik Açığı, Hazırda Bekleticinin Veri Doğrulama Rutinleri sırasında girdiyi sterilize etme başarısızlığından kaynaklanır.
Saldırganlar, sistemin daha sonra yüksek ayrıcalıklarla yürüteceği API parametrelerine kötü amaçlı yükler göndererek bunu kullanabilir.
Bu saldırı vektörü, yanlış giriş doğrulamasının HTTP isteği tahrifatı yoluyla komut yürütmesine izin verdiği Java tabanlı kurumsal sistemleri hedefleyen son istismarları yansıtır.
Her iki güvenlik açığı, Ivanti’nin Mayıs 2025 güvenlik güncellemesinde yamaladığı 11.8 ila 11.12 EPMM sürümlerini etkiler.
Bununla birlikte, özel API entegrasyonları veya gecikmeli güncelleme döngüleri kullanan kuruluşlar, özellikle CISA’nın yama sürümünden önceki vasıtalık sömürü onaylaması göz önüne alındığında, yüksek risk altında kalır.
Ağ savunucuları için azaltma stratejileri
CISA, federal ajansları ya Ivanti’nin yamalarını hemen uygulamaya veya 9 Haziran son tarihine kadar EPMM kullanımını durdurmaya zorunlu kılıyor. Özel sektör kuruluşları için CISA şunları önerir:
- EPMM örneklerini kritik ağ kaynaklarından ayırma.
- Sömürü gösteren anormal kalıplar için API trafiğinin izlenmesi.
- Uzlaşma belirtileri için EPMM sistemlerinin adli denetimlerinin yapılması.
Ivanti’nin danışmanlığı, API’nın kimlik doğrulama mantığını yeniden düzenleyen ve kış uykusu işlemleri için katı giriş validasyonu uygulayan EPMM 11.13’e yükseltmeyi vurgular.
Hemen yama yapamayan kuruluşlar için geçici geçici çözümler, kullanılmayan API uç noktalarının devre dışı bırakılmasını ve ağ düzeyinde erişim kontrollerinin uygulanmasını içerir.
Bu güvenlik açıkları, kurumsal yazılım içindeki üçüncü taraf kütüphane bağımlılıklarının doğasında var olan risklerin altını çizmektedir.
Rapora göre, CISA’nın KEV listesi, savunucular için kritik bir önceliklendirme aracı olarak hizmet ediyor ve aktif olarak sömürülen tehditlere karşı odaklanmış iyileştirme çabalarını sağlıyor.
Tehdit aktörleri giderek daha fazla kurumsal hareketlilik altyapısını hedefledikçe, proaktif güvenlik açığı yönetimi tedarik zinciri risklerini azaltmak için gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!