Código HTML do Conteúdo
Post: Alerta de segurança: Vulnerabilidade no Ivanti Endpoint Manager Mobile. CISA avisa
<div>
<div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default">
<div>
<div>
<p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:21 Setembro 2025 08:42</b></span></p>
<p>A Agência de Segurança Cibernética dos EUA (CISA) <a href="https://www.cisa.gov/news-events/alerts/2025/09/18/cisa-releases-malware-analysis-report-malicious-listener-targeting-ivanti-endpoint-manager-mobile" target="_blank">emitiu um alerta</a> em relação a dois kits de malware descobertos na rede de uma organização não identificada após a exploração de novas vulnerabilidades no <strong>Sistema de gerenciamento de dispositivos móveis Ivanti Endpoint Manager Mobile (EPMM).</strong></p>
<p>Os invasores exploraram o <a href="https://www.redhotcyber.com/servizi/cve/?cve_id=CVE-2025-4427" target="_new _blank">CVE-2025-4427</a> e <a href="https://www.redhotcyber.com/servizi/cve/?cve_id=CVE-2025-4428" target="_new _blank">CVE-2025-4428</a> vulnerabilidades, ambas usadas em ataques de dia zero <strong>antes do lançamento das atualizações da Ivanti em maio de 2025.</strong></p>
<p>A primeira vulnerabilidade permite <strong>Desvio de autenticação</strong> e acesso a recursos protegidos, enquanto o segundo permite <strong>Execução remota de código</strong>. Juntos, eles permitem a execução não autorizada de comandos arbitrários nos vulneráveis <strong>EPMM</strong> servidor. A CISA observa que <em>o ataque começou por volta de 15 de maio de 2025, logo após a publicação do exploit PoC.</em></p>
<p>Os invasores usaram esse acesso para executar comandos que lhes permitiam coletar informações do sistema, fazer upload de arquivos maliciosos, listar o conteúdo do diretório raiz, realizar reconhecimento de rede, executar um script para criar um despejo de heap e extrair credenciais LDAP. Dois conjuntos diferentes de arquivos maliciosos foram carregados no servidor, ambos no diretório /tmp, cada um garantindo persistência injetando e executando código arbitrário:</p>
<p>Em ambos os casos, o <em>JAR lançou uma classe Java que agia como um ouvinte HTTP malicioso</em>. Essas classes interceptaram solicitações específicas, descriptografaram cargas incorporadas e criaram dinamicamente uma nova classe que era executada diretamente na memória.</p>
<p>Especificamente, o <strong>ReflectUtil.class</strong> foi usado para <em>manipular objetos Java e injetar um componente SecurityHandlerWanListener no tempo de execução do Apache Tomcat. </em>Esse ouvinte interceptou solicitações HTTP, decodificou e descriptografou os dados e, em seguida, executou a classe gerada.</p>
<p>O segundo componente <em>(WebAndroidAppInstaller.class)</em> usou uma chave codificada para descriptografar o parâmetro password da solicitação, que foi usada para gerar e executar a nova classe. O resultado foi então criptografado novamente com a mesma chave e enviado na resposta.</p>
<p>Portanto, ambas as cadeias forneceram um recurso oculto para execução remota de código, presença persistente no sistema e orquestração de estágios de ataque subsequentes, incluindo interceptação e processamento de tráfego HTTP para exfiltração de dados.</p>
<p><strong>A CISA recomenda que os administradores atualizem imediatamente todas as instalações vulneráveis do Ivanti EPMM para a versão mais recente, fortaleçam o monitoramento de atividades e restrinjam o acesso a sistemas MDM para evitar invasões semelhantes no futuro.</strong></p>
<div>
<div>
<div>
<div>
<p><b><span>Redação</span></b><br /><span>A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.</span></p>
<p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div>