CISA 警告：两种恶意软件正在利用 Ivanti EPMM 上的 CVE-2025-4427 和 CVE-2025-4428 漏洞

美国网络安全和基础设施安全局（CISA）周四发布消息称，在一起针对某未透露名称组织的攻击事件中，发现了两组恶意软件。这些恶意软件是在攻击者利用 Ivanti Endpoint Manager Mobile（EPMM）中的安全漏洞后植入该组织网络的。

CISA 在警报中表示：“每一组都包含用于恶意监听器的加载器，使网络威胁行为者能够在受感染的服务器上运行任意代码。”

此次攻击中被利用的漏洞包括 CVE-2025-4427 和 CVE-2025-4428，这两个漏洞在 Ivanti 于 2025 年 5 月修复之前，均已作为零日漏洞遭到利用。

虽然 CVE-2025-4427 涉及一种认证绕过，允许攻击者访问受保护资源，CVE-2025-4428 则可导致远程代码执行。因此，这两个漏洞可以串联使用，在不经身份验证的情况下在易受攻击设备上执行任意代码。

根据 CISA 的说法，威胁行为者在 2025 年 5 月 15 日前后——在一份概念验证（PoC）利用公布后——通过组合这两个漏洞获得了运行 EPMM 的服务器访问权限。

这使得攻击者能够运行命令以收集系统信息、下载恶意文件、列出根目录、映射网络、执行脚本以生成 heapdump（堆转储），并转储轻量目录访问协议（LDAP）凭据，机构补充道。

进一步分析发现，网络威胁行为者向 “/tmp” 目录投放了两组恶意文件，每一组都通过在被攻陷服务器上注入并运行任意代码来实现持久化：

集合 1 — web-install.jar（又名 Loader 1）、ReflectUtil.class、和 SecurityHandlerWanListener.class
集合 2 — web-install.jar（又名 Loader 2）和 WebAndroidAppInstaller.class

具体来说，两组都包含一个加载器，该加载器启动一个恶意的已编译 Java 类监听器，该监听器拦截特定的 HTTP 请求并对其进行处理，以解码和解密有效载荷供后续执行。

“ReflectUtil.class 操作 Java 对象以在 Apache Tomcat 中注入并管理恶意监听器 SecurityHandlerWanListener。”CISA 表示。“[SecurityHandlerWanListener.class] 是一个恶意监听器，用于拦截特定的 HTTP 请求并对其进行处理以解码和解密有效载荷，从而动态创建并执行一个新类。”

而 WebAndroidAppInstaller.class 的工作方式不同：它使用硬编码密钥从请求中检索并解密一个 password 参数，解密得到的内容被用来定义和实现一个新类。新类执行的结果随后使用相同的硬编码密钥进行加密，并生成带有加密输出的响应。

最终结果是攻击者能够在服务器上注入并执行任意代码，从而实现后续活动与持久化，并通过拦截与处理 HTTP 请求来窃取数据。

为防范这些攻击，建议组织将其实例升级到最新版，监控可疑活动迹象，并实施必要的限制以防止对移动设备管理（MDM）系统的未授权访问。