Campagne d’exploitation de deux vulnérabilités affectant Ivanti EPMM

Le 13 mai 2025, Ivanti a publié un bulletin d’alerte concernant les vulnérabilités CVE-2025-4427 et CVE-2025-4428 affectant le produit Endpoint Manager Mobile (EPMM). Le 19 mai, ces deux vulnérabilités ont été ajoutées au catalogue CISA (Cybersecurity and Infrastructure Security Agency) des vulnérabilités exploitées.

L’organisation a publié, le 18 septembre 2025, un rapport d’analyse détaillé sur une campagne malveillante exploitant ces vulnérabilités. Cette attaque a permis à des attaquants d’infiltrer des serveurs EPMM et d’y exécuter du code arbitraire.

Ces failles correspondent à un défaut d’authentification (CWE-288) et une injection de code (CWE-94), permettant aux attaquants de contourner les contrôles d’accès et de manipuler le serveur vulnérable via des requêtes HTTP GET ciblant l’endpoint /mifs/rs/api/v2/. Grâce au paramètre ?format=, ils ont pu envoyer des commandes à distance pour collecter des informations système, télécharger des fichiers malveillants, cartographier le réseau et extraire des identifiants LDAP.

La CISA a identifié deux ensembles de logiciels malveillants, chacun composé de fichiers Java (.jar et .class), déposés dans le répertoire /tmp du serveur compromis. Dans les deux campagnes observées, un loader est d’abord déployé permettant de télécharger les autres charges malveillantes. Dans le premier cas, ce sont un fichier « listener » et un fichier « manager » qui sont installés, ce dernier permettant la gestion du listener. Dans le second cas, seul le « listener » est déployé. Ce dernier est utilisé par les attaquants pour exécuter du code arbitraire sur les machines compromises. 

Les attaquants ont utilisé une technique d’évasion en distribuant les fichiers malveillants par segment. Chacun de ces segments est récupéré via une requête HTTP distincte. Ils sont ensuite assemblés sur le serveur compromis à l’aide d’injections de code Java Expression Language (EL), rendant la détection plus difficile pour les outils de sécurité traditionnels.

Pour contrer cette menace, la CISA recommande vivement aux organisations utilisant Ivanti EPMM de :

  • Mettre à jour vers les dernières versions disponibles ;
  • Traiter les systèmes de gestion des appareils mobiles (MDM) comme des actifs critiques, en renforçant les contrôles d’accès et la surveillance ;
  • Utiliser les indicateurs de compromission (IOCs) et les règles YARA/SIGMA fournis dans le rapport pour détecter les logiciels malveillants observés.