Ivanti EPMM の脆弱性 CVE-2025-4427/4428 を武器化:CISA が警告するマルウェアとは?

CISA Alerts of Hackers Targeting Ivanti Endpoint Manager Mobile Vulnerabilities to Distribute Malware

2025/09/19 gbhackers — Ivanti EPMM (Endpoint Manager Mobile) に存在する、深刻な脆弱性 CVE-2025-4427 (認証バイパス)/CVE-2025-4428 (コードインジェクション) を武器化したサイバー脅威アクターたちが、侵害したサーバ上に高度なローダーとリスナーを展開している。このマルウェアを構成する2つのコンポーネントは、Loader 1 (web-install.jar/ReflectUtil.class/SecurityHandlerWanListener.class) と、Loader 2 (web-install.jar/WebAndroidAppInstaller.class) であり、Apache Tomcat 環境に任意コードを挿入して永続性を維持するよう設計されている。

CISA が入手した5件のマルウェア・ファイルは、これらの脆弱性を介して侵害を受けた組織から提供されたものだ。攻撃者は、HTTP GET リクエストをフォーマット・パラメータで連結することで、”/mifs/rs/api/v2/” エンドポイントを悪用して、Base64 エンコードされたチャンクを配信することで、”/tmp” 内で JAR ファイルを再構築して悪意の Java クラスをロードした。これらのクラスは、特定のヘッダーやペイロードを含む HTTP リクエストを傍受し、任意コードをデコード/復号/実行する。

この脆弱性の影響が及ぶ範囲は、Ivanti EPMM バージョン 11.12.0.4 以前/12.3.0.1 以前/12.4.0.1 以前/12.5.0.0 以前である。2025年5月13日に Ivanti はパッチを公開し、5月19日に CISA は KEV カタログに追加した。ユーザーに対して強く推奨されるのは、直ちに最新バージョンへアップグレードすることである。

主な対策
  • 提供されている侵害指標 (IOC)/YARA ルール/SIGMA ルールを適用し、アクティビティを検出する。
  • 最新の Ivanti EPMM リリースにアップグレードし、MDM システムを高価値資産として扱い、アクセス制限と継続的な監視を強化することで悪用を防止する。
  • ダウンロード可能な IOC は MAR-251126.r1.v1.CLEAR (STIX 2.0 JSON) である。CISA が作成した YARA ルールはローダー/リスナーを検知し、SIGMA ルール (AR25-260A/B SIGMA YAML) は疑わしい HTTP GET リクエスト/クラス名/ファイルハッシュ/ネットワーク・アーティファクトを特定できる。
Loader 1 Internal Structure.
Loader 1 Internal Structure.
技術的詳細
  • Loader 1 の JAR ファイルは、ReflectUtil.class を含んでいる。このクラスは JDK モジュール制限を回避し、Base64 エンコード/gzip 圧縮されたリスナー・クラスをデコードしてサーブレット・リスナー・リストに追加することで、Apache Tomcat に悪意のリスナー (SecurityHandlerWanListener) を注入する。
  • SecurityHandlerWanListener が傍受するのは、特定のパス文字列/Referer ヘッダー/ペイロードを含む HTTP リクエストである。その後に、Base64 デコードおよび AES 復号を行い、サーバ上で新規クラスを定義/実行することで、任意コード実行およびデータ窃取を可能にする。
  • Loader 2 の JAR ファイルは、”com.mobileiron.service” の一部として WebAndroidAppInstaller.class を偽装する。リスナーは、 “sun.misc.BASE64Decoder” を使用して “decodeBuffer” を呼び出し、失敗した場合には “java.util.Base64” の “getDecoder” を呼び出す。
  • リスナーはコンテンツ・タイプ “application/x-www-form-urlencoded” のリクエストを検証し、Base64 エンコードされたパスワード・パラメータを抽出して AES で復号し、動的に新クラスをロードする。そして実行結果は、同一鍵で暗号化/エンコードされ、MD5 ハッシュ化したレスポンスとして返されるため、攻撃者は任意コードの実行結果 (コマンド出力) を取得できる。
  • 攻撃者は、それぞれのローダーを複数の Base64 エンコード済みセグメントに分割し、”/mifs/rs/api/v2/featureusage” へ向けた個別 GET リクエストで配信する。Java Expression Language インジェクションにより、これらのチャンクを “/tmp” に追記することで、シグネチャ・ベースの検知やファイル・サイズ・チェックを回避している。
Java Code Snippet for Decoding a Base64 String.
Java Code Snippet for Decoding a Base64 String.
緩和策
  • YARA ルールとして、CISA_251126_01 から CISA_251126_05 までを導入し、SHA-256 ハッシュとバイト・パターンを照合し、JAR/クラス・ファイルを検出する。
  • CISA と NIST が提供する Cross-Sector Cybersecurity Performance Goals (ネットワーク分離/アプリケーション・ホワイトリスト/管理インターフェイスの多要素認証/定期的なログレビューなど) を導入し、不審なコマンドやファイル操作を検知する。
  • SIGMA ルールを適用し、異常な HTTP GET リクエストや、既知の悪意の IP などのネットワーク IOC にフラグ付けする。
  • 侵害が検出された場合には、影響を受けるホストを隔離し、フォレンジック・イメージ取得/プロセス確認を行い、24時間対応の報告システムを通じて CISA に報告する。マルウェア・サンプルに関しては、CISA のマルウェア分析提出フォームから送信できる。

ユーザーに対して強く推奨されるのは、最新の Ivanti EPMM リリースに速やかにアップグレードし、MDM プラットフォームを高価値資産として厳格に制御/監視することである。

Ivanti EPMM に存在する CVE-2025-4427/4428 が武器化されているようです。CVE-2025-4427 は認証バイパス、CVE-2025-4428 はコード・インジェクションに起因し、認証バイパスや任意のコード実行を引き起こします。その結果として、悪意の JAR ファイルが組み込まれ、Tomcat 環境へコードが挿入されると、この記事は指摘しています。よろしければ、CVE-2025-4427/4428 で検索も、ご参照ください。