CISA alerta para exploração ativa de vulnerabilidades críticas no Ivanti EPMM

A CISA publicou informações técnicas sobre malware utilizado em ataques que exploraram duas falhas críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2025-4427 (desvio de autenticação) e CVE-2025-4428 (execução remota de código). As vulnerabilidades, descobertas em bibliotecas de código aberto integradas no EPMM, podem ser encadeadas para permitir RCE não autenticado.

Segundo a agência, os atacantes conseguiram aceder ao servidor comprometido, recolher informações de sistema e diretórios, executar scripts maliciosos, realizar reconhecimento da rede e ainda despejar credenciais LDAP.

Dois conjuntos de malware foram implementados em diretórios temporários para garantir persistência e evitar deteção. Ambos os conjuntos continham um carregador e um ouvinte malicioso que permitiam a injeção e execução de código arbitrário.

O primeiro integrava um gestor para manipular objetos Java e um processo de escuta maliciosa no Apache Tomcat, capaz de processar pedidos HTTP específicos e gerar dinamicamente novas classes maliciosas e o segundo centrava-se na extração de parâmetros de senha de pedidos HTTP, no carregamento de classes maliciosas e no envio de respostas encriptadas para mascarar a atividade.

A CISA recomenda a atualização imediata para versões corrigidas do Ivanti EPMM (11.12.0.5, 12.3.0.2, 12.4.0.2, 12.5.0.1 ou superiores), a aplicação de restrições e medidas adicionais de monitorização em sistemas de gestão de dispositivos móveis e a adoção de boas práticas de segurança para mitigar riscos de exploração futura.