Как связка уязвимостей в Ivanti позволяет захватить контроль над серверами?

Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение об активной кибератаке, в ходе которой злоумышленники эксплуатируют две уязвимости в продукте Ivanti Endpoint Manager Mobile (EPMM). Атакующие развертывают два различных набора вредоносных программ для закрепления в системе и выполнения произвольного кода на скомпрометированных серверах.

Атака построена на последовательном использовании двух критических уязвимостей. Первая, идентифицированная как CVE-2025-4427, представляет собой ошибку обхода аутентификации. Она позволяет злоумышленнику получить доступ к защищенным ресурсам системы без необходимости предоставлять учетные данные.

Вторая уязвимость, CVE-2025-4428, классифицируется как уязвимость удаленного выполнения кода. Она дает возможность атакующему выполнять произвольные команды на целевом сервере. Компания-разработчик Ivanti выпустила исправление для этих проблем в мае 2025 года.

Ключевая опасность заключается в возможности объединения (chaining) этих двух недостатков. Используя CVE-2025-4427 для обхода системы аутентификации, злоумышленники затем применяют CVE-2025-4428 для выполнения кода. Такая связка позволяет проводить атаку и выполнять команды на уязвимом устройстве без какой-либо аутентификации.

Получив доступ к системе, злоумышленники выполняют ряд действий для сбора информации и расширения своего присутствия. Они собирают системные данные, загружают дополнительные вредоносные файлы, просматривают содержимое корневого каталога, сканируют внутреннюю сеть, создают дампы памяти (heapdump) и похищают учетные данные из службы каталогов LDAP.

Для закрепления в системе атакующие размещают два набора вредоносных файлов в каталоге /tmp скомпрометированного сервера. Первый набор включает файлы web-install.jar (загрузчик), ReflectUtil.class и SecurityHandlerWanListener.class.

Второй набор вредоносного ПО состоит из другого файла web-install.jar (второй загрузчик) и компонента WebAndroidAppInstaller.class. Оба набора служат одной цели: обеспечить постоянное присутствие в системе путем внедрения и запуска произвольного кода.

Оба комплекта вредоносных программ используют общий механизм. Загрузчик web-install.jar запускает вредоносный прослушиватель (listener), представляющий собой скомпилированный Java-класс. Этот прослушиватель перехватывает определенные HTTP-запросы, обрабатывает их для декодирования и расшифровки полезной нагрузки, а затем выполняет ее.

В первом наборе компонент ReflectUtil.class используется для манипулирования объектами Java с целью внедрения и управления вредоносным прослушивателем в среде веб-сервера Apache Tomcat. Сам прослушиватель, SecurityHandlerWanListener.class, перехватывает HTTP-запросы, расшифровывает их содержимое и динамически создает новый класс для выполнения полученных команд.

Прослушиватель из второго набора, WebAndroidAppInstaller.class, работает иначе. Он извлекает и расшифровывает параметр пароля из запроса, используя жестко закодированный в своем коде ключ. Расшифрованные данные используются для определения и реализации нового класса. Результат выполнения этого класса затем шифруется тем же самым ключом и отправляется обратно в качестве ответа на запрос.

Для защиты от этих атак CISA рекомендует организациям предпринять три ключевых шага. Необходимо обновить экземпляры Ivanti до последней доступной версии, активно отслеживать системы на предмет подозрительной активности и внедрить необходимые ограничения для предотвращения несанкционированного доступа к системам управления мобильными устройствами (MDM).

Источник: Ravie Lakshmanan