Alertas da CISA de hackers direcionados à Ivanti Endpoint Manager Vulnerabilidades móveis para distribuir malware – Against Invaders – Notícias de CyberSecurity para humanos.

Alertas da CISA de hackers direcionados à Ivanti Endpoint Manager Vulnerabilidades móveis para distribuir malware - Against Invaders - Notícias de CyberSecurity para humanos.

Os atores de ameaças cibernéticas armaram duas vulnerabilidades críticas de Mobile Mobile Manager (EPMM)-CVE-2025-4427 e CVE-2025-4428-para implantar carregadores e ouvintes sofisticados em servidores comprometidos.

O malware consiste em dois conjuntos de componentes: Loader 1 (Web-Install.Jar, RefletUtil.class, SecurityHandlerWanListener.class) e Loader 2 (Web-Install.jar, WebandroidAppInstaller.class), ambos projetados para injetar código arbitrário e manter a persistência no apacho do apacho.

A CISA obteve cinco arquivos de malware de uma organização comprometida via CVE-2025-4427 (desvio de autenticação) e CVE-2025-4428 (injeção de código) no IVANTI EPMM.

Os atacantes exploraram o/MIFS/RS/API/V2/ENDPOND, encadeando solicitações HTTP com um parâmetro de formato para fornecer pedaços codificados por Base64, reconstruir arquivos JAR em/TMP e carregar classes java maliciosas.

Uma vez implantados, essas classes interceptam solicitações HTTP com cabeçalhos ou cargas úteis específicas para decodificar, descriptografar e executar o código arbitrário.

As organizações que executam o IVANTI EPMM versões 11.12.0.4 e anterior, 12.3.0.1 e anterior, 12.4.0.1 e anterior ou 12.5.0.0 e anterior devem atualizar imediatamente.

Ivanti EPMM Versões 11.12.0.4 e anterior, 12.3.0.1 e anterior, 12.4.0.1 e anterior e 12.5.0.0 e anterior. Ivanti lançado Patches e divulgou publicamente as duas vulnerabilidades em 13 de maio de 2025. A CISA adicionou esses CVEs ao seu conhecido catálogo de vulnerabilidades exploradas em 19 de maio de 2025.

Ações -chave

Detecte a atividade, implantando indicadores fornecidos de compromisso (IOCs) e regras de detecção de Yara e Sigma.

Evite a exploração, atualizando para a mais recente liberação de Ivanti EPMM e tratando os sistemas MDM como ativos de alto valor com restrições e monitoramento aumentados.

IOCs para download: mar-251126.r1.v1.clear (Stix 2.0 JSON). As assinaturas de detecção incluem CISA-criada Regras de yara Para carregadores e ouvintes, e uma regra Sigma (AR25-260A/B Sigma Yaml) para identificar solicitações suspeitas HTTP, nomes de classe, hashes de arquivo e artefatos de rede.

O arquivo de jar do carregador 1 hospeda refletiTil.class, que injeta um ouvinte malicioso (SecurityHandlerwanListener) em Apache Tomcat Ao ignorar as restrições do módulo JDK, decodificando uma classe de ouvinte compactada por GZIP, codificada por Base64, e adicionando-a à lista do ouvinte do servlet.

O SecurityHandlerWanListener intercepta solicitações HTTP contendo uma cadeia de passagem específica, cabeçalho do referente e carga útil, depois decodifica e as cargas úteis base64 de decreto de AES para definir e executar novas classes no servidor, permitindo que a execução e a exfiltração de dados do código arbitário.

O arquivo jar do carregador 2 se disfarça de webandroidAppInstaller.class como parte do com.mobileiron.service.

A string base64:

  1. Primeiro usasun.misc.BASE64Decoderpara ligardecodeBuffer.
  2. Se a primeira tentativa falhar, ele usajava.util.Base64para ligargetDecoder.

O ouvinte valida solicitações com o tipo de conteúdo Aplicativo/x-www-forma-urlcoded, extrai um parâmetro de senha codificado por 64, aes decreta-o, carrega dinamicamente novas classes, criptografa e codifica resultados de execução com a mesma chave e retorna uma resposta MD5-Hashed. Isso permite que os invasores executem código arbitrário e recebam saída de comando.

Os invasores dividiram cada carregador em vários segmentos codificados por Base64 entregues através de solicitações GET separadas para o ponto final do/MIFS/RS/API/V2/FencherUsage. A injeção de linguagem de expressão de Java grava e anexa esses pedaços aos arquivos em /TMP, evitando controles baseados em assinatura e verificações de tamanho de arquivo.

Mitigações

Implante YARA Regras CISA_251126_01 através do CISA_251126_05 para detectar os artefatos de arquivo JAR e classificar combinando padrões exclusivos de hashes e bytes SHA-256.

Alinhe as defesas com CISA e as metas de desempenho da cibersegurança cibernética do NIST, incluindo segmentação de rede, lista de permissões de aplicativos, autenticação multifatorial para interfaces administrativas e revisão regular de log para detectar comandos anômalos ou atividades de arquivo.

Implemente a regra Sigma na Tabela 7 para sinalizar solicitações anormais HTTP GET, atividade de carregamento de classe e IOCs de rede, como IPs maliciosos conhecidos.

Se detectada, a quarentena afetou os hosts, captura imagens forenses, revise os processos de execução e relate incidentes à CISA por meio de seu centro de operações 24/7 ou sistema de relatórios de incidentes. Envie amostras de malware através do formulário de envio de análise de malware da CISA.

Atualize para a mais recente liberação do IVANTI EPMM sem demora. Aplicar restrições aprimoradas e monitoramento contínuo nas plataformas MDM como ativos de alto valor.

Encontre esta história interessante! Siga -nosLinkedIneXPara obter mais atualizações instantâneas.

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.