Código HTML do Conteúdo
Post: CISA alerta sobre malware implantado por meio de falhas do Ivanti EPMM – Security Affairs
<div>
<div>
<h2>CISA alerta sobre malware implantado por meio de falhas do Ivanti EPMM</h2>
<h2>A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou duas cepas de malware encontradas em uma rede comprometida por meio de falhas do Ivanti EPMM.</h2>
<p>A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou detalhes técnicos de duas famílias de malware que foram descobertas na rede de uma organização não identificada após o comprometimento do Ivanti Endpoint Manager Mobile (EPMM).</p>
<p>A CISA divulgou um relatório sobre duas cepas de malware usadas em exploits de falhas do Ivanti EPMM <a href="https://securityaffairs.com/178140/security/u-s-cisa-adds-ivanti-epmm-mdaemon-email-server-srimax-output-messenger-zimbra-collaboration-and-zkteco-biotime-flaws-to-its-known-exploited-vulnerabilities-catalog.html" target="_blank">CVE-2025-4427</a> e <a href="https://securityaffairs.com/178140/security/u-s-cisa-adds-ivanti-epmm-mdaemon-email-server-srimax-output-messenger-zimbra-collaboration-and-zkteco-biotime-flaws-to-its-known-exploited-vulnerabilities-catalog.html" target="_blank">CVE-2025-4428</a>.</p>
<p><em>“A Agência de Segurança Cibernética e Infraestrutura (CISA) obteve dois conjuntos de malware de uma organização comprometida por agentes de ameaças cibernéticas que exploram<a href="https://www.cve.org/CVERecord?id=CVE-2025-4427" rel="noreferrer noopener" target="_blank">CVE-2025-4427</a>e<a href="https://www.cve.org/CVERecord?id=CVE-2025-4428" rel="noreferrer noopener" target="_blank">CVE-2025-4428<br /></a>no Ivanti Endpoint Manager Mobile (Ivanti EPMM).” lê o <a href="https://www.cisa.gov/news-events/alerts/2025/09/18/cisa-releases-malware-analysis-report-malicious-listener-targeting-ivanti-endpoint-manager-mobile" target="_blank">Relatório de análise de malware</a> publicado pela CISA. “Cada conjunto contém carregadores para ouvintes mal-intencionados que permitem que os agentes de ameaças cibernéticas executem código arbitrário no servidor comprometido.”</em></p>
<p>Em meados de maio, a Ivanti<a href="https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM?language=en_US" rel="noreferrer noopener" target="_blank">Lançado</a>Atualizações de segurança para resolver vulnerabilidades<a href="https://securityaffairs.com/177846/security/ivanti-fixed-two-epmm-flaws-exploited-in-limited-attacks.html" target="_blank">CVE-2025-4427 e CVE-2025-4428</a>, no software Endpoint Manager Mobile (EPMM). A empresa confirmou que os agentes de ameaças encadearam as falhas em ataques limitados para obter a execução remota de código.</p>
<p>Abaixo está a descrição deles:</p>
<ul>
<li><strong>CVE-2025-4427</strong>(Pontuação CVSS: 5.3) – Um desvio de autenticação no Endpoint Manager Mobile permitindo que invasores acessem recursos protegidos sem as credenciais adequadas.</li>
<li><strong>CVE-2025-4428</strong>(Pontuação CVSS: 7.2) – Uma vulnerabilidade de execução remota de código no Endpoint Manager Mobile permitindo que invasores executem código arbitrário no sistema de destino.</li>
</ul>
<p>O CERT-EU relatou ambas as vulnerabilidades à empresa de software. A empresa confirmou que os agentes de ameaças podem encadear as duas vulnerabilidades para obter a execução remota de código sem autenticação.</p>
<p>As vulnerabilidades foram resolvidas com as versões 11.12.0.5, 12.3.0.2, 12.4.0.2 ou 12.5.0.1.</p>
<p>As vulnerabilidades afetam duas bibliotecas de código aberto sem nome usadas no EPMM, a empresa apontou que elas não residem em seu código. A empresa ainda está investigando os ataques, no entanto, não possui “indicadores atômicos confiáveis” no momento da redação deste artigo.</p>
<p>Em maio, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA)<a href="https://securityaffairs.com/178140/security/u-s-cisa-adds-ivanti-epmm-mdaemon-email-server-srimax-output-messenger-zimbra-collaboration-and-zkteco-biotime-flaws-to-its-known-exploited-vulnerabilities-catalog.html" target="_blank">Adicionado</a>Google Chromium, roteadores DrayTek e SAP NetWeaver falhas em seu<a href="https://www.cisa.gov/known-exploited-vulnerabilities-catalog" target="_blank">Catálogo de vulnerabilidades exploradas conhecidas (KEV)</a>.</p>
<p>Em maio de 2025, os agentes de ameaças exploraram as falhas do Ivanti EPMM para acessar servidores, executando comandos por meio do <code>/mifs/rs/api/v2/</code> Extremidade. Os invasores realizaram uma série de atividades maliciosas, incluindo coleta de dados do sistema, download de malware e mapeamento de redes. Os invasores despejaram as credenciais LDAP e mantiveram a persistência gravando arquivos maliciosos em <code>/tmp</code>. A CISA analisou dois conjuntos de malware e recomenda que as organizações usem IOCs, apliquem orientações de detecção e atualizem para a versão mais recente do Ivanti EPMM.</p>
<p>Os conjuntos de malware analisados pela CISA são:</p>
<ul>
<li>O conjunto 1 consiste nos seguintes arquivos maliciosos:<code>web-install.jar</code>,<code>ReflectUtil.class</code>e<code>SecurityHandlerWanListener.class</code>.</li>
<li>O conjunto 2 consiste nos seguintes arquivos maliciosos:<code>web-install.jar</code>e<code>WebAndroidAppInstaller.class</code>.</li>
</ul>
<p>Cada conjunto de malware inclui um carregador e um ouvinte que permitem que os invasores injetem e executem código arbitrário no servidor comprometido.</p>
<p>Os carregadores executam um ouvinte de classe Java malicioso, interceptando solicitações HTTP para decodificar e descriptografar cargas úteis para execução.</p>
<p>Abaixo estão detalhes adicionais sobre os dois conjuntos de malware.</p>
<p><strong>Conjunto 1</strong>: Usa um carregador (ReflectUtil.class) disfarçado de pacote Apache para contornar restrições e instalar secretamente um ouvinte mal-intencionado (SecurityHandlerWanListener) no Apache Tomcat. Esse ouvinte intercepta solicitações HTTP específicas, descriptografa cargas ocultas e cria dinamicamente novas classes Java. Os invasores podem executar código arbitrário, manter a persistência e exfiltrar dados.</p>
<p><strong>Conjunto 2</strong>: Contém um carregador (WebAndroidAppInstaller.class) que se apresenta como um serviço MobileIron. Ele instala outro ouvinte malicioso que intercepta solicitações HTTP codificadas em formulários, descriptografa parâmetros ocultos com uma chave AES codificada, cria e executa novas classes e, em seguida, criptografa e retorna os resultados. Os invasores executam arbitragemary na instância vulnerável e pode roubar dados e assumir o controle de um sistema comprometido.</p>
<p>Ambos os conjuntos de malware oferecem aos invasores recursos poderosos de persistência, execução de código e roubo de dados.</p>
<p>As organizações devem atualizar para a versão mais recente, monitorar atividades suspeitas e restringir o acesso a sistemas MDM para evitar ataques.</p>
<p>A CISA também compartilhou as regras YARA e SIGMA para detectar o malware, juntamente com as técnicas MITRE ATT&CK.</p>
<p>Siga-me no Twitter:<a href="https://twitter.com/securityaffairs" target="_blank">@securityaffairs</a>e<a href="https://www.facebook.com/sec.affairs" target="_blank">Linkedin</a>e<a href="https://infosec.exchange/@securityaffairs" target="_blank">Mastodonte</a></p>
<p><a href="http://www.linkedin.com/pub/pierluigi-paganini/b/742/559" target="_blank">PierluigiPaganini</a></p>
<p>(<a href="http://securityaffairs.co/wordpress/" target="_blank">Assuntos de Segurança</a>–hacking,Ivanti EPMM)</p>
<hr>
<hr>
</div></div>