- Ivanti heeft twee gebreken gepatcht die zijn geketend om RCE -aanvallen te monteren
- Een “beperkt aantal” bedrijven zou naar verluidt gecompromitteerd zijn
- Alleen on-prem-producten worden getroffen
Ivanti heeft een patch uitgebracht voor twee kwetsbaarheden in zijn Endpoint Manager Mobile (EPMM) -software, die naar verluidt wordt vastgeketend in de externe code -uitvoering (RCE) aanvallen in het wild.
De kwetsbaarheden worden gevolgd als CVE-2025-4427 en CVE-2025-4428. De eerste is een authenticatie -bypass in de API van EPMM, waardoor dreigingsactoren toegang hebben tot beschermde bronnen. Het kreeg een medium-ernstige score van 5,3 toegewezen.
De laatste is een RCE -kwetsbaarheid die wordt benut door kwaadwillig vervaardigde API -verzoeken. Deze kreeg een hoge ernstscore (7,2/10).
Ivanti zegt dat het wordt misbruikt bij aanvallen: “Wanneer ze samen zijn geketend, kan succesvolle uitbuiting leiden tot niet -gewaardeerde externe code -uitvoering,” zei het bedrijf in een beveiligingsadvies. “We zijn ons bewust van een zeer beperkt aantal klanten wier oplossing is benut op het moment van openbaarmaking.”
Om het probleem aan te pakken, moeten gebruikers Ivanti Endpoint Manager Mobile 11.12.0.5, 12.3.0.2, 12.4.0.2 of 12.5.0.1 installeren.
“Het probleem is alleen van invloed op het on-prem EPMM-product. Het is niet aanwezig in Ivanti-neuronen voor MDM, Ivanti’s cloudgebaseerde uniforme endpoint managementoplossing, Ivanti Sentry of andere Ivanti-producten,” legde het bedrijf verder uit. “We dringen er bij alle klanten op aan het on-prem EPMM-product te gebruiken om de patch onmiddellijk te installeren.”
De EPMM -software van Ivanti is een populaire oplossing in verschillende industrieën, waaronder gezondheidszorg, onderwijs, logistiek, productie en overheid. Volgens de Shadowerver zijn er op dit moment honderden blootgestelde instanties, meestal in Duitsland (992), maar ook met een aanzienlijk aantal in de Verenigde Staten (418).
Degenen die de patch op dit moment niet kunnen toepassen, kunnen verschillende oplossingen implementeren. Ivanti zei dat deze gebruikers de richtlijnen voor best practices moeten volgen of toegang moeten zijn tot de API met de functionaliteit van de ingebouwde portal ACL, of een externe WAF. Meer details over het gebruik van de ACL -functionaliteit van de portal zijn hier te vinden.
Via BleepingComputer
