CISA Warns of Two Malware Strains Exploiting Ivanti EPMM CVE-2025-4427 and CVE-2025-4428

Malware cibernétique exploitant des vulnérabilités critiques sur Ivanti EPMM

Des cybermenaces ont été détectées exploitant deux failles de sécurité sur le logiciel Ivanti Endpoint Manager Mobile (EPMM). Ces vulnérabilités ont permis l’exécution de code arbitraire sur les serveurs compromis, menant à la collecte d’informations système, au téléchargement de fichiers malveillants, à la cartographie du réseau et à l’exfiltration d’identifiants LDAP.

Points clés :

• Deux souches de logiciels malveillants ont été identifiées, chacune contenant des “chargeurs” pour des “listeners” malveillants permettant l’exécution de code arbitraire.
• Les attaquants ont pu obtenir un accès non authentifié aux ressources protégées.
• Les attaquants ont pu enchaîner les vulnérabilités pour exécuter du code arbitraire sans authentification.
• Les logiciels malveillants utilisés permettent d’établir une persistance sur le serveur compromis.
• L’activité malveillante a été observée après la publication d’une preuve de concept (PoC) pour les vulnérabilités.

Vulnérabilités exploitées :

• CVE-2025-4427 : Contournement de l’authentification, permettant aux attaquants d’accéder à des ressources protégées.
• CVE-2025-4428 : Exécution de code à distance.

Ces deux CVE ont été exploitées en “zero-day” avant d’être corrigées par Ivanti en mai 2025.

Recommandations :

• Mettre à jour les instances d’Ivanti EPMM vers la dernière version disponible.
• Surveiller activement les signes d’activités suspectes sur les systèmes.
• Mettre en œuvre des restrictions nécessaires pour empêcher tout accès non autorisé aux systèmes de gestion des appareils mobiles (MDM).

Source