CISA exposes malware kits deployed in Ivanti EPMM attacks

1 minute de lecture

Mis à jour : September 19, 2025

Découverte de Kits Malveillants dans les Attaques Ivanti EPMM

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a analysé des kits malveillants utilisés dans des attaques exploitant des vulnérabilités sur Ivanti Endpoint Manager Mobile (EPMM). Ces failles permettent un contournement d’authentification (CVE-2025-4427) et l’injection de code arbitraire (CVE-2025-4428). Les versions d’EPMM affectées incluent les branches 11.12.0.4, 12.3.0.1, 12.4.0.1, et 12.5.0.0, ainsi que leurs prédécesseurs. Les acteurs de la menace exploitaient ces vulnérabilités comme des “zero-days” avant que les correctifs ne soient publiés par Ivanti en mai. Des renseignements suggèrent qu’un groupe d’espionnage lié à la Chine a utilisé ces failles dès le 15 mai pour compromettre des agences gouvernementales.

Points Clés :

Vulnérabilités exploitées : Contournement d’authentification (CVE-2025-4427) et injection de code arbitraire (CVE-2025-4428) dans Ivanti EPMM.
Versions affectées : Ivanti EPMM branches 11.12.0.4, 12.3.0.1, 12.4.0.1, 12.5.0.0 et antérieures.
Méthode d’attaque : Les attaquants ciblent le point d’accès /mifs/rs/api/v2/ avec des requêtes GET pour exécuter des commandes à distance, collecter des informations système, cartographier le réseau, télécharger des fichiers malveillants et voler des identifiants LDAP.
Kits malveillants : Deux ensembles de malwares ont été identifiés, chacun comprenant un chargeur distinct (nommé web-install.jar) et des écouteurs malveillants (ReflectUtil.class, SecurityHandlerWanListener.class ou WebAndroidAppInstaller.class). Ces écouteurs permettent l’injection et l’exécution de code, l’exfiltration de données et l’établissement de persistance.
Livraison du malware : Le malware est livré en fragments segmentés et encodés en Base64 via des requêtes HTTP GET séparées.

Vulnérabilités :

CVE-2025-4427 : Contournement d’authentification dans le composant API d’EPMM.
CVE-2025-4428 : Vulnérabilité d’injection de code permettant l’exécution de code arbitraire.

Recommandations :

Mise à jour immédiate : Appliquer les correctifs pour Ivanti EPMM sans délai.
Traitement des systèmes MDM : Considérer les systèmes de gestion des appareils mobiles (MDM) comme des actifs de haute valeur (HVA) nécessitant des restrictions de sécurité et une surveillance accrues.
En cas de compromission : Isoler les hôtes affectés, collecter et analyser les artefacts, et créer une image disque forensique complète à partager avec la CISA.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CISA exposes malware kits deployed in Ivanti EPMM attacks

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)