Hakeri su uspjeli da kompromituju ograničen broj korisnika Ivanti Endpoint Mobile Manager softvera spajanjem ranjivosti srednje i visoke bezbjednosne ozbiljnosti u paketu softvera za upravljanje mobilnim uređajima.
Ranjivosti, evidentirane kao CVE-2025-4427 i CVE-2025-4428, omogućavaju neautentifikovanom napadaču izvršavanje koda na daljinu. Ivanti poziva korisnike da odmah nadograde softver na verziju u kojoj su propusti otklonjeni.
Kompanija je takođe upozorila da su ove dvije ranjivosti povezane sa propustima u open-source bibliotekama koje su integrisane u EPMM. Istraživači bezbjednosti upozoravaju da bi ti propusti trećih strana mogli imati šire implikacije.
Ivanti je saopštio da sarađuje sa partnerima iz oblasti bezbjednosti, kao i sa održavaocima pogođenih biblioteka, kako bi se utvrdilo da li su potrebni dodatni CVE identifikatori.
Ipak, postoji određeno neslaganje u vezi sa ovim pitanjem. Istraživači iz organizacije watchTowr doveli su u pitanje da li se ovaj problem s pravom može pripisati ranjivosti biblioteke treće strane. Tvrde da je Ivanti nepropisno koristio poznatu opasnu funkciju u biblioteci hibernate-validator.
U međuvremenu, istraživači iz fondacije Shadowserver prijavili su da je u nedjelju otkriveno 798 instanci CVE-2025-4427 koje su neispravljene i smatraju se ranjivim, što je pad u odnosu na 940 instanci prijavljenih u četvrtak.
Lanac iskorišćavanja uključuje kombinaciju CVE-2025-4427, koji omogućava zaobilaženje autentifikacije u EPMM-u i pristup zaštićenim resursima bez validnih akreditiva, sa CVE-2025-4428, propustom koji omogućava izvršavanje proizvoljnog koda na ciljanom sistemu.
Ranjivosti imaju CVSS ocjene 5.3 (srednja ozbiljnost) i 7.2 (visoka ozbiljnost). Kada se kombinuju, istraživači iz kompanije Rapid7 navode da neautentifikovani napadač može da pristupi web API kraju i ubrizga šablone na strani servera kako bi iskoristio propust visoke ozbiljnosti.
Rapid7 je testirao dokaze koncepta i potvrdio da funkcionišu, ali do sada nisu zabilježili potvrđene slučajeve eksploatacije u okruženju korisnika, prema riječima istraživača bezbjednosti Ryana Emmonsa.
Emmons je dodao da nije jasno na koje tačno open-source biblioteke Ivanti upućuje kao na izvor problema. Portparol kompanije Ivanti nije bio odmah dostupan za komentar.
Bezbjednosne propuste je prvi prijavio Ivantiju CERT-EU, bezbjednosna služba za institucije Evropske unije.
Izvor: Cybersecurity Dive