Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Критические уязвимости в Ivanti EPMM: анализ атак UNC5221

3 мин
15 мая 2025 года компания Ivanti объявила об обнаружении двух критических уязвимостей — CVE-2025-4427 и CVE-2025-4428 — в продукте Ivanti Endpoint Manager Mobile (EPMM) версий 12.5.0.0 и ниже. Уязвимости позволяют злоумышленникам выполнять удалённое выполнение кода без проверки подлинности (RCE), что делает их крайне опасными. Особую тревогу вызывает то, что атаки на эти уязвимости начались в день их обнаружения — 15 мая, а пострадали организации из критически важных секторов: здравоохранения, телекоммуникаций и государственного управления. География атаки охватывает Европу, Северную Америку и Азиатско-Тихоокеанский регион. Согласно анализу компании EclecticIQ, с высокой долей уверенности ответственность за эксплуатацию уязвимостей лежит на группе UNC5221. Это подразделение кибершпионажа, связанное с Китаем, которое действует с 2023 года и известно своими целенаправленными кампаниями по эксплуатации уязвимостей. Эксплуатация уязвимости была реализована следующим образом: Для увеличения
Оглавление
Источник: blog.eclecticiq.com
Источник: blog.eclecticiq.com

Критические уязвимости в Ivanti Endpoint Manager Mobile активно эксплуатируются группой UNC5221

15 мая 2025 года компания Ivanti объявила об обнаружении двух критических уязвимостей — CVE-2025-4427 и CVE-2025-4428 — в продукте Ivanti Endpoint Manager Mobile (EPMM) версий 12.5.0.0 и ниже. Уязвимости позволяют злоумышленникам выполнять удалённое выполнение кода без проверки подлинности (RCE), что делает их крайне опасными.

Особую тревогу вызывает то, что атаки на эти уязвимости начались в день их обнаружения — 15 мая, а пострадали организации из критически важных секторов: здравоохранения, телекоммуникаций и государственного управления. География атаки охватывает Европу, Северную Америку и Азиатско-Тихоокеанский регион.

Группа UNC5221 и её тактики

Согласно анализу компании EclecticIQ, с высокой долей уверенности ответственность за эксплуатацию уязвимостей лежит на группе UNC5221. Это подразделение кибершпионажа, связанное с Китаем, которое действует с 2023 года и известно своими целенаправленными кампаниями по эксплуатации уязвимостей.

Эксплуатация уязвимости была реализована следующим образом:

  • Целевая конечная точка — /mifs/rs/api/v2/, на которую отправлялся специально созданный HTTP GET-запрос.
  • Использование Java-метода Runtime.getRuntime().exec(), позволяющего выполнять удалённые системные команды.
  • Внедрение вредоносного ПО KrustyLoader, доставляемого с помощью утилит Linux и размещённого в Amazon AWS S3 для обеспечения постоянства присутствия на системах.
  • Дальнейшее извлечение бэкдора Sliver, загружаемого непосредственно в память для скрытого управления заражёнными машинами.

Кража и использование конфиденциальной информации

Для увеличения доступа и шпионских возможностей злоумышленники воспользовались жёстко закодированными учетными данными MySQL, хранящимися в системных каталогах. Это позволило получить доступ к базе данных mifs, где содержатся данные об управляемых мобильных устройствах и учетные данные пользователей.

Собранные сведения использовались для целевых атак на высокопоставленных лиц и защиту конфиденциальных активов организаций.

Инструменты для устойчивого доступа и разведки

Атака сопровождалась внедрением инструмента FRP (Fast Reverse Proxy), который помогает хакерам формировать обратный прокси-сервер. Это обеспечивает постоянный доступ во внутренние сети организаций и облегчает перемещение злоумышленников по инфраструктуре.

Дополнительно фиксировалось широкое применение запутанных команд для разведки среды и построения карты сети, позволяя выявлять активность пользователей и уязвимые точки системы.

Связь с предыдущими атаками и инфраструктурой

Важным доказательством причастности группы UNC5221 стал многократный повторный запуск атаков с одинаковой инфраструктуры. Примечательно, что в кампании использовался IP-адрес, ранее замеченный в атаках на инфраструктуру SAP — что свидетельствует о системном и целенаправленном характере деятельности.

Последствия для безопасности и рекомендации

Выполняемый Ivanti EPMM обрабатывает критичные данные: телеметрию устройств, токены аутентификации корпоративных сервисов, включая Microsoft 365. Это означает, что компрометация платформы создаёт серьёзные риски утечки и дальнейших атак на инфраструктуру организаций.

Аналитики отмечают, что подобные действия отражают стратегические интересы государственных структур КНР, направленные на сбор разведывательной информации с использованием украденных данных.

Рекомендации для пользователей Ivanti EPMM:

  • Немедленно установить обновления и патчи, устраняющие уязвимости CVE-2025-4427 и CVE-2025-4428.
  • Мониторить сети на предмет подозрительного использования шаблонов команд и аномального создания файлов в типичных каталогах, таких как /tmp.
  • Обратить особое внимание на подозрительные активности, связанные с загрузкой и выполнением нестандартных процессов.

Своевременное реагирование позволит минимизировать риски и предотвратить дальнейшее проникновение злоумышленников в корпоративные сети.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Критические уязвимости в Ivanti EPMM: анализ атак UNC5221".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.