Siber tehdit aktörleri, uzlaşmış sunuculara sofistike kötü amaçlı yükleyicileri ve dinleyicileri dağıtmak için iki kritik Ivanti Endpoint Manager mobil (EPMM) güvenlik açıkları-CVE-2025-4427 ve CVE-2025-4428-silahlandırdı.
Kötü amaçlı yazılım, iki bileşen kümesinden oluşur: Yükleyici 1 (Web-Install.jar, RECTEDUTUTIL.Class, SecurityHandlerWanListener.class) ve Loader 2 (Web-Install.jar, WeBandroidAppInstaller.class), her ikisi de keyfi kod enjekte etmek ve Apache Tompling’de kalıcılık sağlamak için tasarlanmıştır.
CISA, IVANTI EPMM’de CVE-2025-4427 (Kimlik Doğrulama Bypass) ve CVE-2025-4428 (kod enjeksiyonu) üzerinden tehlikeye atılan bir kuruluştan beş kötü amaçlı yazılım dosyası aldı.
Saldırganlar, HTTP GET isteklerini temel 64 kodlu parçalar sunmak,/TMP’de yeniden yapılandırmak ve kötü niyetli java sınıflarını yüklemek için/MIFS/RS/API/V2/bitiş noktasını kullandı.
Dağıtım yapıldıktan sonra, bu sınıflar, kod çözmek, şifresini çözmek ve keyfi kod yürütmek için belirli başlıklar veya yükler taşıyan HTTP isteklerini keser.
Ivanti EPMM sürümleri 11.12.0.4 ve önceki, 12.3.0.1 ve önceki, 12.4.0.1 ve prior veya 12.5.0.0 ve Prior hemen yükseltmelidir.
IVANTI EPMM Sürümleri 11.12.0.4 ve önceki, 12.3.0.1 ve önceki, 12.4.0.1 ve önceki, 12.5.0.0 ve önceki. Ivanti, 13 Mayıs 2025’te her iki güvenlik açıkını yamalar yayınladı ve halka açık bir şekilde açıkladı. CISA, bu CVES’i 19 Mayıs 2025’te bilinen sömürülen güvenlik açıkları kataloğuna ekledi.
Anahtar Eylemler
Sağlanan uzlaşma (IOC’ler) ve Yara ve Sigma algılama kurallarının sağlanması ile aktiviteyi tespit edin.
En son Ivanti EPMM sürümüne yükselterek ve MDM sistemlerini daha yüksek kısıtlamalar ve izleme ile yüksek değerli varlıklar olarak ele alarak sömürü önleyin.
İndirilebilir IOCS: Mar-251126.r1.v1.clear (STIX 2.0 JSON). Tespit imzaları, hem yükleyiciler hem de dinleyiciler için CISA tarafından oluşturulan YARA kurallarını ve şüpheli HTTP GET isteklerini, sınıf adlarını, dosya karmalarını ve ağ artefaktlarını tanımlamak için bir Sigma kuralı (AR25-260A/B Sigma Yaml) içerir.
Loader 1’in jar dosyası, JDK modülü kısıtlamalarını atlayarak, baz 64 kodlu, GZIP sıkıştırılmış bir dinleyici sınıfını kodlayarak ve sunucu dinleyici listesine ekleyerek, kötü niyetli bir dinleyiciyi (SecurityHandlerWanListener) Apache Tomcat’a enjekte eden ve Apache Tomcat’a barındırır.
SecurityHandlerWanListener, belirli bir geçiş dizesi, sevk başlığı ve yük içeren HTTP isteklerini keser, ardından sunucudaki yeni sınıfları tanımlamak ve yürütmek için Rasgele Kod Yürütme ve Veri Defiltrasyonunu mümkün kılmak için Base64 yükleri kod çözer ve AES-Decrypts Base64 yükleri.
Loader 2’nin jar dosyası, com.mobileiron.service’in bir parçası olarak webandroidAppInstaller.class’ı maskelendirir.
Base64 String:
- İlk kullanır
sun.misc.BASE64DecoderçağırmakdecodeBuffer. - İlk deneme başarısız olursa, kullanır
java.util.Base64çağırmakgetDecoder.
Dinleyici, içerik türü uygulaması/x-www-form-urlence kodlu istekleri doğrular, baz 64 kodlu bir şifre parametresi çıkarır, AES-Decrypts, yeni sınıfları dinamik olarak yükler, yürütme sonuçlarını aynı anahtarla şifreler ve kodlar. Bu, saldırganların keyfi kod yürütmesine ve komut çıktısı almasına olanak tanır.
Saldırganlar, her yükleyiciyi/MIFS/RS/API/V2/Özellik Uç Noktasına ayrı GET istekleri aracılığıyla teslim edilen birden çok baz 64 kodlu segment’e ayırdı. Java İfade Dili Enjeksiyonu, bu parçaları /TMP’deki dosyalara yazar ve ekler, imza tabanlı kontrollerden ve dosya boyutu kontrollerinden kaçınır.
Hafifletme
Eşsiz SHA-256 karma ve bayt desenleriyle eşleşerek kavanoz ve sınıf dosya artefaktlarını tespit etmek için YARA kurallarını CISA_251126_01 ile cisa_251126_05 ile dağıtın.
Savunmaları, ağ segmentasyonu, uygulama izin verme, yönetimsel arayüzler için çok faktörlü kimlik doğrulama ve anormal komutları veya dosya etkinliğini tespit etmek için düzenli günlük incelemesi dahil olmak üzere CISA ve NIST arası sektörler arası siber güvenlik performans hedefleriyle hizalayın.
Anormal HTTP GET isteklerini, sınıf yükleme etkinliğini ve bilinen kötü niyetli IP’ler gibi ağ IOC’lerini işaretlemek için Tablo 7’deki Sigma kuralını uygulayın.
Tespit edilirse, karantinaya etkilenen ana bilgisayarları, adli görüntüleri yakalayın, çalışma süreçlerini gözden geçirin ve 7/24 operasyon merkezi veya olay raporlama sistemi aracılığıyla olayları CISA’ya bildirin. Kötü amaçlı yazılım örneklerini CISA’nın kötü amaçlı yazılım analiz gönderme formu aracılığıyla gönderin.
Gecikmeden en son Ivanti EPMM sürümüne yükseltin. Yüksek değerli varlıklar olarak MDM platformlarında gelişmiş kısıtlamaları ve sürekli izlemeyi uygulamak.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.