Компания Ivanti выпустила обновления безопасности для двух критических уязвимостей в программном обеспечении Endpoint Manager Mobile (EPMM). Эти уязвимости активно используются злоумышленниками в цепочке атак для достижения удаленного выполнения кода на целевых системах.
Первая уязвимость, получившая идентификатор CVE-2025-4427 и оценку CVSS 5.3, представляет собой обход аутентификации в Ivanti Endpoint Manager Mobile. Она позволяет атакующим получать доступ к защищенным ресурсам без необходимости предоставления действительных учетных данных, что является первым шагом в цепочке атаки.
Вторая уязвимость, CVE-2025-4428 с оценкой CVSS 7.2, относится к типу подделки межсайтовых запросов (SSRF) в том же продукте. Эта брешь дает возможность злоумышленникам выполнять запросы к внутренним ресурсам сети, что в сочетании с первой уязвимостью создает полноценный вектор для удаленного выполнения кода.
Уязвимости затрагивают несколько версий программного обеспечения EPMM: 11.12.0.4 и более ранние (исправлено в 11.12.0.5), 12.3.0.1 и более ранние (исправлено в 12.3.0.2), 12.4.0.1 и более ранние (исправлено в 12.4.0.2), а также 12.5.0.0 и более ранние (исправлено в 12.5.0.1).
По информации от CERT-EU, который сообщил об этих проблемах компании Ivanti, на момент раскрытия информации атакам подверглось «очень ограниченное число клиентов». Примечательно, что уязвимости связаны с двумя библиотеками с открытым исходным кодом, интегрированными в EPMM, хотя названия этих библиотек не были раскрыты. На данный момент надежные индикаторы компрометации отсутствуют.
Специалисты Ivanti отмечают, что риск эксплуатации «значительно снижается», если клиенты фильтруют доступ к API с использованием встроенной функциональности Portal ACLs или внешнего веб-приложения брандмауэра. Важно подчеркнуть, что уязвимости затрагивают только локальные (on-premise) версии EPMM и не присутствуют в облачном решении Ivanti Neurons for MDM, Ivanti Sentry или других продуктах компании.
Помимо этих уязвимостей, Ivanti также выпустила отдельное исправление для Neurons for ITSM (CVE-2025-22462) с критической оценкой CVSS 9.8. Эта уязвимость обхода аутентификации в локальных версиях продукта может позволить удаленным неаутентифицированным злоумышленникам получить административный доступ. Однако на данный момент нет свидетельств её эксплуатации в дикой природе.
Учитывая историю использования уязвимостей нулевого дня в продуктах Ivanti, пользователям настоятельно рекоменду
Первая уязвимость, получившая идентификатор CVE-2025-4427 и оценку CVSS 5.3, представляет собой обход аутентификации в Ivanti Endpoint Manager Mobile. Она позволяет атакующим получать доступ к защищенным ресурсам без необходимости предоставления действительных учетных данных, что является первым шагом в цепочке атаки.
Вторая уязвимость, CVE-2025-4428 с оценкой CVSS 7.2, относится к типу подделки межсайтовых запросов (SSRF) в том же продукте. Эта брешь дает возможность злоумышленникам выполнять запросы к внутренним ресурсам сети, что в сочетании с первой уязвимостью создает полноценный вектор для удаленного выполнения кода.
Уязвимости затрагивают несколько версий программного обеспечения EPMM: 11.12.0.4 и более ранние (исправлено в 11.12.0.5), 12.3.0.1 и более ранние (исправлено в 12.3.0.2), 12.4.0.1 и более ранние (исправлено в 12.4.0.2), а также 12.5.0.0 и более ранние (исправлено в 12.5.0.1).
По информации от CERT-EU, который сообщил об этих проблемах компании Ivanti, на момент раскрытия информации атакам подверглось «очень ограниченное число клиентов». Примечательно, что уязвимости связаны с двумя библиотеками с открытым исходным кодом, интегрированными в EPMM, хотя названия этих библиотек не были раскрыты. На данный момент надежные индикаторы компрометации отсутствуют.
Специалисты Ivanti отмечают, что риск эксплуатации «значительно снижается», если клиенты фильтруют доступ к API с использованием встроенной функциональности Portal ACLs или внешнего веб-приложения брандмауэра. Важно подчеркнуть, что уязвимости затрагивают только локальные (on-premise) версии EPMM и не присутствуют в облачном решении Ivanti Neurons for MDM, Ivanti Sentry или других продуктах компании.
Помимо этих уязвимостей, Ivanti также выпустила отдельное исправление для Neurons for ITSM (CVE-2025-22462) с критической оценкой CVSS 9.8. Эта уязвимость обхода аутентификации в локальных версиях продукта может позволить удаленным неаутентифицированным злоумышленникам получить административный доступ. Однако на данный момент нет свидетельств её эксплуатации в дикой природе.
Учитывая историю использования уязвимостей нулевого дня в продуктах Ivanti, пользователям настоятельно рекоменду