.webp?w=696&resize=696,0&ssl=1 "Ivanti Endpoint Manager güvenlik açıkları")
Kritik güvenlik kusurları, yaygın olarak kullanılan bir mobil cihaz yönetimi (MDM) çözümü olan Ivanti Endpoint Manager Mobile’da (EPMM) ortaya çıkarıldı ve kuruluşları yetkilendirilmemiş uzaktan kod yürütme riskine maruz bıraktı.
CVE-2025-4427 ve CVE-2025-4428 olarak izlenen güvenlik açıkları, vahşi doğada aktif olarak sömürüldü ve güvenlik ajanslarından ve Ivanti’den acil çağrılar yapıldı.
Ivanti Endpoint Manager güvenlik açıkları
WatchTowr raporuna göre, iki güvenlik açığı, zincirlendiğinde, saldırganların kimlik doğrulamasını atlamasına ve etkilenen sistemlerde keyfi kod yürütmesine izin verin:
.png
)
- CVE-2025-4427 (CVSS 5.3): Doğrulanmamış saldırganların geçerli kimlik bilgileri olmadan korunan API uç noktalarına erişmesine izin veren bir kimlik doğrulama baypas kusuru.
- CVE-2025-4428 (CVSS 7.2): Saldırganların hedef sistemde keyfi kod çalıştırmasına izin veren bir uzaktan kod yürütme güvenlik açığı, Java ifade dili (EL) yüklerini enjekte etmek ve yürütmek için API isteklerinde kullanıcı kontrollü girişten yararlanıyor.
Bu güvenlik açıkları, Ivanti EPMM’nin 12.5.0.0’dan önce ve dahil olmak üzere tüm şirket içi versiyonlarında, 11.12.0.5, 12.3.0.2, 12.4.0.2 ve 12.5.0.1 sürümlerinde mevcut olan yamalarla birlikte bulunur.
Saldırı zinciri, /api/v2/featureusage uç nokta. Burada, uygunsuz doğrulanması format Parametre, bir saldırganın kötü niyetli java el ifadeleri enjekte etmesini sağlar.
Savunmasız sürümlerde, bu giriş doğrudan Spring Framework’ün mesaj kaynağı tarafından işlenen hata mesajlarına aktarılır ve bu da sunucuda kod yürütülmesine neden olur.
Kimlik doğrulama bypass (CVE-2025-4427), uygulamanın güvenlik yönlendirmesindeki yanlış yapılandırma nedeniyle ortaya çıkar ve saldırganların önceden kimlik doğrulaması olmadan savunmasız uç noktaya ulaşmasına izin verir.
Raporda, bu “Operasyon Sırası” sorunun, kötü niyetli isteklerin, UçuTentica olsa bile RCE güvenlik açığını (CVE-2025-4428) tetiklemesini sağladığını okuyor.Ted.
Vahşi doğada sömürü
Ivanti ve çoklu siber güvenlik ajansları, bu güvenlik açıklarının sınırlı, hedefli bir şekilde kullanılmasını, kavram kanıtı kodu kamuya açık bir şekilde dolaştıkça daha geniş saldırıların güçlü bir olasılığını doğruladı.
Kusurlar özellikle tehlikelidir, çünkü EPMM gibi MDM çözümleri yönetilen cihazlara geniş erişime sahiptir, bu da kötü amaçlı yazılım veya fidye yazılımının kitlesel dağıtımını tehlikeye atarsa gerçek bir tehdit haline getirir.
Güvenlik açıkları, Ivanti’nin tescilli kodu değil, EPMM içine iki açık kaynaklı kütüphanenin entegrasyonundan kaynaklanmaktadır. Bu, kurumsal yazılımdaki üçüncü taraf bağımlılıklarla ilişkili riskleri vurgulamaktadır.
Başarılı sömürü, saldırganların programlar yüklemesine, duyarlı verilere erişmesine veya cihaz yönetimini tüm kuruluşlarda bozmasına izin verebilir.
Ivanti, yamalar yayınladı ve tüm müşterileri hemen en son sabit sürümlere güncellemeye teşvik ediyor. Yükselemeyen kuruluşlar, Ivanti’nin geçici hafifletme danışmanlığına danışmalı ve uzlaşma belirtileri için yakından izlemelidir.
Güvenlik uzmanları, istismar kodunun kritik doğası ve kamu mevcudiyeti göz önüne alındığında, eşleştirilmemiş sistemlerin yakın risk altında olduğu konusunda uyarıyor.
NHS, ASD ve CERT-EU da dahil olmak üzere ajanslar, yaygın sömürüyü önlemek için derhal eylemde bulunarak aciliyeti tekrarladılar.
Bu Ivanti EPMM güvenlik açıklarının keşfi ve devam eden sömürüsü, kurumsal ortamlarda hem açık kaynaklı bağımlılıkların hem de yanlış yapılandırılmış güvenlik kontrollerinin yarattığı kalıcı risklerin altını çizmektedir.
Ivanti EPMM kullanan kuruluşlar, uzlaşma riskini en aza indirmek için yamaya öncelik vermeli ve maruz kalmalarını gözden geçirmelidir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri