São Paulo — InkDesign News — Ivanti revelou duas vulnerabilidades zero-day em seu produto Endpoint Manager Mobile (EPMM), que estão sendo utilizadas por agentes maliciosos para ataques de execução remota de código (RCE).
Vetor de ataque
A vulnerabilidade CVE-2025-4427, uma falha de bypass de autenticação com severidade média, e a CVE-2025-4428, uma vulnerabilidade RCE de alta severidade, foram identificadas como críticas para a segurança do EPMM. A Ivanti alertou que, quando exploradas em conjunto, essas falhas permitem a execução de código remoto não autenticado em servidores EPMM. A empresa creditou à CERT-EU a descoberta dessas vulnerabilidades.
Impacto e resposta
Ben Smith, engenheiro de pesquisa da Tenable, observou que a exploração da CVE-2025-4427 poderia permitir que os atacantes acessassem a API do servidor EPMM, que normalmente é acessível apenas para usuários autenticados. O advisor de segurança da Ivanti, publicado em 13 de maio, destacou que há um número muito limitado de clientes cujos sistemas foram explorados até o momento da divulgação. O documento também sugere que a mitigação pode ser alcançada filtrando o acesso às APIs, seja através das ACLs do Portal da Ivanti ou através de um firewall de aplicativo web de terceiros.
“A exploração pode ser atenuada filtrando o acesso às APIs
(“Exploitation attempts can be mitigated by filtering access to the APIs.”)— Ivanti
Análise e recomendações
Ivanti recomendou que os clientes atualizassem suas instâncias do EPMM para versões corrigidas — 11.12.0.5, 12.3.0.2, 12.4.0.2 ou 12.5.0.1. Contudo, a empresa alertou que a filtragem de acesso pode afetar a funcionalidade, dependendo das configurações específicas do servidor EPMM, impactando integrações que possuem IPs difíceis de determinar ou alterar, como as integrações de registro de dispositivos Windows usando Autopilot e a conformidade de dispositivos Microsoft.
A Ivanti também afirmou que as vulnerabilidades CVE-2025-4427 e CVE-2025-4428 estão associadas a bibliotecas de software de código aberto, não ao código interno da Ivanti. A empresa declarou estar em contato com os mantenedores das bibliotecas afetadas para discutir a necessidade de CVEs relacionados.
O setor de segurança cibernética deve estar atento a esses desenvolvimentos, especialmente devido à crescente atividade de grupos de ameaças patrocinados pelo estado, particularmente aqueles vinculados à China.
Fonte: (Dark Reading – Segurança Cibernética)
