Ivanti EPMM kullanıcılarının acilen, önceden onaylanmış uzaktan kod yürütülmesini sağlayan aktif olarak sömürülen 0 gün güvenlik açıklarına (CVE-2025-4427, CVE-2025-4428) karşı yamaları gerekir.
WatchTowr’daki siber güvenlik araştırmacıları, etkilenen sistemler üzerinde tam kontrol elde etmek için birleştirilebilen ve aktif olarak kullanılabilen CVE-2025-4427 ve CVE-2025-4428 olarak tanımlanan Ivanti Endpoint Manager Mobile (EPMM) yazılımındaki iki güvenlik açıklığının ayrıntılarını paylaştı.
Ivanti EPMM, kurumsal güvenlik için çok önemli olan, yazılım dağıtımını kontrol etmek ve çalışan cihazlarında politikaları uygulamak için merkezi bir nokta görevi gören bir mobil cihaz yönetimi (MDM) çözüm sistemidir. Bununla birlikte, yukarıda belirtilen kusurlar bu yönetim aracını kötü amaçlı aktörler için potansiyel bir giriş noktasına dönüştürmektedir. Hackread.com ile paylaşılan WatchTowr’ın analizi, bu güvenlik açıklarından yararlanmanın şaşırtıcı derecede basit olduğunu gösteriyor.
Zincirli istismarlar tam sistem uzlaşmasına yol açar
İlk güvenlik açığı olan CVE-2025-4427, saldırganların uygun oturum açma kimlik bilgilerine ihtiyaç duymadan Ivanti EPMM sisteminin korunan kısımlarına erişmesini sağlayan bir kimlik doğrulama baypası kusurudur. İkinci güvenlik açığı olan CVE-2025-4428, kullanılırsa saldırganların sunucuda kendi kötü amaçlı kodlarını çalıştırmasına izin verebilen bir uzaktan kod yürütme (RCE) kusurudur.
Ivanti, bu sorunların birleştirildiğinde şiddeti kabul etti ve “başarılı sömürünün kime doğrulanmamış uzaktan kod yürütülmesine yol açabileceğini” belirtti. Ayrıca, güvenlik açıkları açıklandığından beri “sömürülen çok sınırlı sayıda müşteri” hakkında farkındalık bildirdiler.
Bu, saldırılar şu anda hedeflenebilse de, daha yaygın hale gelebileceklerini göstermektedir. Watchtowr, bu tür hedeflenen saldırılar halka açıldıktan sonra, saldırganların kalan savunmasız sistemleri bulmak için kitlesel sömürüye başlamasının yaygın olduğunu belirtiyor.
İlginç bir şekilde, Ivanti, güvenlik açıklarının kendi kodlarında olmadığını, ancak “EPMM’ye entegre edilmiş iki açık kaynaklı kütüphane ile ilişkili” olduğunu belirtti. Açık kaynaklı kod kullanmanın teknoloji endüstrisinde standart bir uygulama olduğunu vurguladılar.
Teknik detaylar ve sömürü
WatchTowr, kış uykusunu validator kütüphanesinde bir RCE güvenlik açığı (CVE-2025-4428) keşfetti ve saldırganların API isteklerinde “format” adlı bir parametre aracılığıyla kötü amaçlı kod enjekte etmesine izin verdi. WatchTower, bir hesaplama gerçekleştiren basit bir web isteği göndererek bu güvenlik açığını başarıyla gösterdi, kod enjeksiyonunun mümkün olduğunu kanıtladı. Ayrıca, sunucuda bir dosya oluşturmak gibi sistem komutlarını yürütebilirler.
Kimlik doğrulama bypass (CVE-2025-4427), geleneksel bir bypass yerine bir “işlem sırası” sorunudur. Bir istekte hazırlanmış bir “format” parametresi /api/v2/featureusage_history Son nokta, kimlik doğrulama kontrolünden önce savunmasız doğrulama işlemini tetikler ve kimlik doğrulanmamış bir saldırganın kod yürütme güvenlik açığını tetiklemesine izin verir. Parametrenin varlığı, önce giriş yapma ihtiyacını ortadan kaldırarak işleme sırasını değiştirir.
Watchtowr, Ivanti EPMM Sunucusunda bu iki güvenlik açığını başarıyla zincirledi. /rs/api/v2/featureusage Kötü niyetli bir “format” parametresine sahip uç nokta, oturum açmadan sistem komutlarını yürütmelerine olanak tanır, böylece önceden onaylanmış bir RCE senaryosu oluşturur.
Bu güvenlik açıkları, etkilenen sürümleri kullanan kuruluşlar için kritik bir risk oluşturmaktadır. Yamalar, 11.12.0.5, 12.3.0.2, 12.4.0.2 ve 12.5.0 sürümleri için mevcuttur ve eski açılmamış sürümleri kullanan kuruluşların hemen güncellenmesi önerilir