- CVE -2025-4427 및 CVE -2025-4428 IVANTI EPMM SYSTEMS를 위반하기 위해 묶인 CISA 공격 공격자
- 맬웨어는 L 주입을 통해 공급되었으며 기본 64에 밀착 된 페이로드에서 구조 조정되었습니다.
- CISA는 태도를 확인하지 않았다. 보고서는 호주 단체의 잠재적 인 중국인을 목표로합니다.
미국 사이버 큐어 및 인프라 보안 기관 (CISA)은 실제 공격에 거의 두 개의 고르지 않은 에반 티 결함을 결합하도록 회사에 경고하고 있습니다.
CISA는 새로운 보안 보좌관에서 CVE-2025-4427 및 CVE-2025-4428을 사용하여 사이버 범죄자에게 제안되었다고 EPM (Endpoint Endpoint Manager Mobile)은 새로운 액세스 권한을 얻기 위해 해결되었다고 밝혔다.
이전은 EPM 12.5.0.0이며 이전 API 구성 요소 바이 패스의 인증으로 공격자는 API를 통해 적절한 인증서없이 보호 자원에 액세스 할 수 있습니다. 그것은 7.5/10 (High)의 급격한 점수를 받았으며 2025 년 5 월 패치였습니다. 반면에, EPMM의 API 자료에는 원격 코드 실행 (RCE) 버그가있어 안전하지 않은 침략자가 장인 정신 API 요청을 통해 자발적 코드를 실행할 수 있습니다. 그것은 8.8/10 (높음)의 급격한 점수를 받았으며 동시에 고정되었습니다.
맬웨어 삭제
CISA는 공격자 들이이 두 결함을 사용하여 체인에서 두 가지 맬웨어 세트를 폐기한다고보고했습니다.
첫 번째에는 Apache Tomcat의 오염 된 청중에게 주사하는 성분이 포함되어 특정 HTTP 요청이 요청을 방지하고 자발적인 Java 코드를 구현할 수 있도록합니다. 두 번째 멀웨어 세트는 동일한 방식으로 관리하지만 별도의 클래스를 사용하여 HTTP 요청에서 인코딩 된 비밀번호 매개 변수를 처리합니다.
연구원들은 HTTP GET 요청을 통해 Java Expression Language (EL) 주입을 사용하여 두 세트를 배포했다고 연구원들은 설명했다. 페이로드는 기지 64에 인코딩되었으며 임시 이사로 작성되었으며 나중에 구조 조정되었습니다. 이런 식으로 공격자들은 전통적인 Tait 보호 장비에 의해 감지되는 것을 피할 수있었습니다.
CISA는 태도에 대해 논의하지 않았으며, 공식적으로 우리는 위협 행위자 나 피해자가 공격에 있다는 것을 모른다. 등록하다그러나 사전 보고서에 따르면 호주의 회사 이후 중국의 국가가 후원하는 공격 일 수 있습니다.
을 통해 등록하다
