Twee recente kwetsbaarheden in Ivanti Endpoint Manager Mobile worden actief uitgebuit door aanvallers. Onderzoekers waarschuwen dat niet alleen on-prem, maar ook cloudomgevingen doelwit zijn van geavanceerde aanvallen met vergaande gevolgen.
Op 13 maart 2025 maakte Ivanti bekend dat hun product Endpoint Manager Mobile (EPMM) kwetsbaar is voor een combinatie van beveiligingsfouten. Het gaat om twee afzonderlijke kwetsbaarheden, aangeduid als CVE-2025-4427 en CVE-2025-4428. Wanneer deze gecombineerd worden, stelt dit een aanvaller in staat om zonder authenticatie op afstand kwaadaardige code uit te voeren. Het gaat om een kritieke dreiging die inmiddels actief wordt misbruikt, zowel in on-premise omgevingen als in cloudomgevingen.
De eerste kwetsbaarheid, CVE-2025-4427, is een authenticatie-omzeiling die ontstaat door fouten in de routeconfiguratie van EPMM. Bepaalde routes blijken toegankelijk zonder dat gebruikers hoeven in te loggen, doordat essentiële beveiligingsregels in de Spring Security-configuratie ontbreken. De tweede kwetsbaarheid, CVE-2025-4428, maakt misbruik van foutafhandelingsfunctionaliteit binnen Spring’s AbstractMessageSource. Door onveilige verwerking van gebruikersinvoer met behulp van de Java Expression Language kan een aanvaller eigen code injecteren via foutmeldingen. In combinatie maken deze fouten het mogelijk om systemen volledig over te nemen, zelfs zonder geldige gebruikersgegevens.
Actief misbruik in cloudomgevingen
Ivanti stelde bij bekendmaking dat enkel de on-premise versie van EPMM werd getroffen en dat slechts een klein aantal klanten daadwerkelijk doelwit was van aanvallen. Toch blijkt uit onafhankelijk onderzoek van beveiligingsbedrijf Wiz dat de kwetsbaarheden inmiddels ook actief worden misbruikt in cloudomgevingen. Onderzoekers van Wiz Research hebben sinds 16 mei 2025 vastgesteld dat kwaadwillenden zich richten op ongepatchte systemen in cloudomgevingen, met name op EPMM-instanties die direct aan het internet zijn blootgesteld. Deze bevindingen lijken haaks te staan op de eerdere communicatie van Ivanti, dat zich tot nu toe terughoudend heeft opgesteld over de exacte impact op cloudproducten.
Bij meerdere aanvallen is gebruik gemaakt van een bekende remote control-tool genaamd Sliver. Deze software wordt regelmatig ingezet door geavanceerde dreigingsactoren. Denk aan statelijke groepen uit China en Rusland en georganiseerde ransomwarebendes. Sliver biedt langdurige en heimelijke toegang tot gecompromitteerde systemen en wordt gebruikt voor uiteenlopende kwaadaardige activiteiten zoals spionage, datadiefstal, het verzamelen van inloggegevens en het voorbereiden van ransomware-aanvallen.
Parallel met kwetsbare Palo Alto-configuraties
Een van de gebruikte command-and-control servers maakt gebruik van het IP-adres 77.221.157.154. Dit adres werd eerder al in verband gebracht met aanvallen op kwetsbare Palo Alto Networks-apparaten. Uit analyse blijkt dat het TLS-certificaat van deze server sinds november 2024 ongewijzigd is gebleven. Dit wijst er volgens Wiz op dat dezelfde actor beide productlijnen doelgericht uitbuit.
De kwetsbaarheden zijn mede te herleiden tot het gebruik van externe open-source libraries binnen het EPMM-product. Ivanti bevestigt dat zij samen met beveiligingspartners en de ontwikkelaars van de betrokken bibliotheken onderzoeken of deze componenten zelf van een aparte CVE moeten worden voorzien. De afhankelijkheid van externe codebibliotheken binnen een beveiligingsproduct benadrukt de risico’s die kunnen ontstaan bij onvoldoende controle op de veiligheid van ingesloten software.
De Amerikaanse overheidsinstantie CISA voegde beide kwetsbaarheden inmiddels toe aan de lijst van actief misbruikte beveiligingslekken. Hoewel de individuele ernstscores op de CVSS-schaal 5.3 en 7.2 bedragen, wordt de gecombineerde impact door beveiligingsexperts als kritiek beoordeeld. De aanvallen lijken te zijn toegenomen na de publicatie van proof-of-concept codes door beveiligingsgroepen als watchTowr en ProjectDiscovery op 15 mei 2025.
Organisaties die Ivanti EPMM gebruiken wordt met klem geadviseerd om de recent uitgebrachte patches onmiddellijk toe te passen. Waar dat nog niet mogelijk is, kunnen tijdelijke netwerkbeperkingen op de betrokken API-routes helpen om het risico op misbruik te verkleinen. Beveiligingsoplossingen zoals die van Wiz bieden daarnaast mogelijkheden om kwetsbare of gecompromitteerde systemen actief op te sporen in cloudomgevingen. Snel handelen is essentieel. Het voorkomt verdere schade.