L’Agence américaine de cybersécurité a lancé une alerte concernant deux kits de logiciels malveillants découverts dans le réseau d’une organisation, exploitant des vulnérabilités dans le système Ivanti Endpoint Manager Mobile (EPMM). Ces vulnérabilités, identifiées sous les codes CVE-2025-4427 et CVE-2025-4428, ont été utilisées lors d’attaques de type zero-day avant qu’Ivanti ne publie des mises à jour en mai 2025. La première faille permet de contourner l’authentification pour accéder à des ressources protégées, tandis que la seconde autorise l’exécution de code à distance, facilitant ainsi l’exécution de commandes non autorisées sur le serveur EPMM. L’attaque, qui a débuté autour du 15 mai 2025, a utilisé un exploit PoC publié peu avant. Les attaquants ont tiré parti de cet accès pour exécuter des commandes visant à collecter des informations système, télécharger des fichiers malveillants, lister le contenu du répertoire racine, mener une reconnaissance réseau, créer un vidage de tas et extraire des identifiants LDAP. Des fichiers malveillants ont été téléchargés dans le répertoire /tmp du serveur, assurant une persistance en injectant et exécutant du code arbitraire. Un fichier JAR a lancé une classe Java agissant comme un écouteur HTTP malveillant, interceptant les requêtes, déchiffrant les charges utiles et créant dynamiquement une nouvelle classe exécutée en mémoire. La classe ReflectUtil manipulait des objets Java, injectant un composant SecurityHandlerWanListener dans Apache Tomcat pour intercepter les requêtes HTTP et exécuter la classe générée. La classe WebAndroidAppInstaller déchiffrait un paramètre de mot de passe pour générer et exécuter une nouvelle classe, ré-encryptant le résultat pour la réponse. Ces méthodes ont permis l’exécution de code à distance, la persistance du système et l’orchestration de nouvelles étapes de l’attaque, y compris l’interception du trafic HTTP pour l’exfiltration de données. Les administrateurs sont instamment priés de mettre à jour les installations d’Ivanti EPMM, d’améliorer la surveillance et de restreindre l’accès au système MDM pour prévenir des attaques similaires.
Quelles sont les vulnérabilités d’Ivanti Endpoint Manager Mobile ?
