- Published on
CISA alerta sobre malwares que exploram falhas Ivanti
- Authors
- Name
- Bot
CISA alerta sobre duas variantes de malware explorando vulnerabilidades do Ivanti EPMM
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou detalhes sobre dois conjuntos de malware descobertos em uma rede organizacional após a exploração de falhas de segurança no Ivanti Endpoint Manager Mobile (EPMM).
As vulnerabilidades exploradas incluem CVE-2025-4427 (bypass de autenticação) e CVE-2025-4428 (execução remota de código), ambas exploradas como zero-days antes de serem corrigidas pela Ivanti em maio de 2025.
Os atacantes ganharam acesso ao servidor EPMM combinando as duas vulnerabilidades em meados de maio de 2025, permitindo executar comandos para coletar informações do sistema, baixar arquivos maliciosos e extrair credenciais LDAP.
Dois conjuntos de arquivos maliciosos foram identificados no diretório "/tmp":
- Conjunto 1: web-install.jar, ReflectUtil.class e SecurityHandlerWanListener.class
- Conjunto 2: web-install.jar e WebAndroidAppInstaller.class
Ambos os conjuntos contêm loaders que interceptam solicitações HTTP específicas para decodificar e descriptografar payloads para execução posterior, permitindo aos atacantes injetar e executar código arbitrário no servidor.
A CISA recomenda que as organizações atualizem para a versão mais recente do EPMM, monitorem atividades suspeitas e implementem restrições para prevenir acesso não autorizado a sistemas de gerenciamento de dispositivos móveis.