CISA alerta sobre malware implantado por meio de falhas do Ivanti EPMM – Security Affairs

U.S. CISA adiciona falha da Dassault Systèmes DELMIA Apriso ao seu catálogo de vulnerabilidades exploradas conhecidas - Against Invaders - Notícias de CyberSecurity para humanos.

CISA alerta sobre malware implantado por meio de falhas do Ivanti EPMM

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou duas cepas de malware encontradas em uma rede comprometida por meio de falhas do Ivanti EPMM.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou detalhes técnicos de duas famílias de malware que foram descobertas na rede de uma organização não identificada após o comprometimento do Ivanti Endpoint Manager Mobile (EPMM).

A CISA divulgou um relatório sobre duas cepas de malware usadas em exploits de falhas do Ivanti EPMM CVE-2025-4427 e CVE-2025-4428.

“A Agência de Segurança Cibernética e Infraestrutura (CISA) obteve dois conjuntos de malware de uma organização comprometida por agentes de ameaças cibernéticas que exploramCVE-2025-4427eCVE-2025-4428
no Ivanti Endpoint Manager Mobile (Ivanti EPMM).” lê o Relatório de análise de malware publicado pela CISA. “Cada conjunto contém carregadores para ouvintes mal-intencionados que permitem que os agentes de ameaças cibernéticas executem código arbitrário no servidor comprometido.”

Em meados de maio, a IvantiLançadoAtualizações de segurança para resolver vulnerabilidadesCVE-2025-4427 e CVE-2025-4428, no software Endpoint Manager Mobile (EPMM). A empresa confirmou que os agentes de ameaças encadearam as falhas em ataques limitados para obter a execução remota de código.

Abaixo está a descrição deles:

  • CVE-2025-4427(Pontuação CVSS: 5.3) – Um desvio de autenticação no Endpoint Manager Mobile permitindo que invasores acessem recursos protegidos sem as credenciais adequadas.
  • CVE-2025-4428(Pontuação CVSS: 7.2) – Uma vulnerabilidade de execução remota de código no Endpoint Manager Mobile permitindo que invasores executem código arbitrário no sistema de destino.

O CERT-EU relatou ambas as vulnerabilidades à empresa de software. A empresa confirmou que os agentes de ameaças podem encadear as duas vulnerabilidades para obter a execução remota de código sem autenticação.

As vulnerabilidades foram resolvidas com as versões 11.12.0.5, 12.3.0.2, 12.4.0.2 ou 12.5.0.1.

As vulnerabilidades afetam duas bibliotecas de código aberto sem nome usadas no EPMM, a empresa apontou que elas não residem em seu código. A empresa ainda está investigando os ataques, no entanto, não possui “indicadores atômicos confiáveis” no momento da redação deste artigo.

Em maio, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA)AdicionadoGoogle Chromium, roteadores DrayTek e SAP NetWeaver falhas em seuCatálogo de vulnerabilidades exploradas conhecidas (KEV).

Em maio de 2025, os agentes de ameaças exploraram as falhas do Ivanti EPMM para acessar servidores, executando comandos por meio do /mifs/rs/api/v2/ Extremidade. Os invasores realizaram uma série de atividades maliciosas, incluindo coleta de dados do sistema, download de malware e mapeamento de redes. Os invasores despejaram as credenciais LDAP e mantiveram a persistência gravando arquivos maliciosos em /tmp. A CISA analisou dois conjuntos de malware e recomenda que as organizações usem IOCs, apliquem orientações de detecção e atualizem para a versão mais recente do Ivanti EPMM.

Os conjuntos de malware analisados pela CISA são:

  • O conjunto 1 consiste nos seguintes arquivos maliciosos:web-install.jar,ReflectUtil.classeSecurityHandlerWanListener.class.
  • O conjunto 2 consiste nos seguintes arquivos maliciosos:web-install.jareWebAndroidAppInstaller.class.

Cada conjunto de malware inclui um carregador e um ouvinte que permitem que os invasores injetem e executem código arbitrário no servidor comprometido.

Os carregadores executam um ouvinte de classe Java malicioso, interceptando solicitações HTTP para decodificar e descriptografar cargas úteis para execução.

Abaixo estão detalhes adicionais sobre os dois conjuntos de malware.

Conjunto 1: Usa um carregador (ReflectUtil.class) disfarçado de pacote Apache para contornar restrições e instalar secretamente um ouvinte mal-intencionado (SecurityHandlerWanListener) no Apache Tomcat. Esse ouvinte intercepta solicitações HTTP específicas, descriptografa cargas ocultas e cria dinamicamente novas classes Java. Os invasores podem executar código arbitrário, manter a persistência e exfiltrar dados.

Conjunto 2: Contém um carregador (WebAndroidAppInstaller.class) que se apresenta como um serviço MobileIron. Ele instala outro ouvinte malicioso que intercepta solicitações HTTP codificadas em formulários, descriptografa parâmetros ocultos com uma chave AES codificada, cria e executa novas classes e, em seguida, criptografa e retorna os resultados. Os invasores executam arbitragemary na instância vulnerável e pode roubar dados e assumir o controle de um sistema comprometido.

Ambos os conjuntos de malware oferecem aos invasores recursos poderosos de persistência, execução de código e roubo de dados.

As organizações devem atualizar para a versão mais recente, monitorar atividades suspeitas e restringir o acesso a sistemas MDM para evitar ataques.

A CISA também compartilhou as regras YARA e SIGMA para detectar o malware, juntamente com as técnicas MITRE ATT&CK.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,Ivanti EPMM)

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.