CISA Analyzes Malware From Ivanti EPMM Intrusions
2025/09/19 SecurityWeek — 米国のサイバー・セキュリティ機関である CISA は、Ivanti Endpoint Manager Mobile (EPMM) の2つの脆弱性を標的とする、マルウェアに関する技術情報を公開した。その対象となる脆弱性 CVE-2025-4427 (CVSS:5.3)/CVE-2025-4428 (CVSS:7.2) は、ハッカーたちによる攻撃で悪用された後の、2025年5月13日に公表された。
これらの脆弱性の悪用は、PoC のエクスプロイト・コードが公開された数日後から激増した。そして 5月下旬には、UNC5221 として追跡されている中国関連の脅威アクターが、これらの脆弱性を積極的に悪用していたことが判明した。
EPMM に統合される2つのオープンソース・ライブラリで発見された、この認証バイパスとリモートコード実行 (RCE) の脆弱性は、未認証の攻撃者に対して RCE を引き起こす可能性を与えてしまう。
そして CISA が公開したのは、脆弱な Ivanti EPMM インスタンスの悪用により侵害されたネットワークから収集された、2セットのマルウェア (5つのファイル) の詳細および、侵害の兆候 (IoC)、検出ルールである。
これらのバグを連鎖させることで、脅威アクターは EPMM を実行しているサーバにアクセスし、リモート・コマンドを実行してシステム情報を収集する。続いて、ルート・ディレクトリの一覧を表示し、悪意のファイルを展開し、ネットワーク偵察を行い、スクリプトを実行して、LDAP 認証情報をダンプする。
CISA は、「ハッカーたちは、2セットのマルウェアを Temp ディレクトリに展開した。それぞれのセットにより脅威アクターは、侵害したサーバへ任意のコードを挿入することで永続性を確保していた」と述べている。
CISA の説明によると、この2つのセットに含まれるものには、侵害したサーバで任意のコードを展開/実行するためのローダーと、悪意のリスナーがあるという。このマルウェアは、シグネチャ・ベースの検出とサイズ制限を回避するために、セグメント単位で展開されていた。
最初のセットに取り込まれているのは、Java オブジェクトを操作して、同一サーバ上で実行されている Apache Tomcat に、悪意のリスナーを挿入するように設計されたマネージャーである。このリスナーは、特定の HTTP リクエストを傍受/処理し、新しいクラスを動的に構築/実行するための、ペイロードをデコード/復号する。
2つ目のセットに含まれる悪意のリスナーは、特定の HTTP リクエストからパスワードパラメータを取得/復号し、悪意のクラスを定義して読み込み、そのクラスの出力を暗号化/符号化して、レスポンスを生成するよう設計されていた。
CISA が警告するのは、Ivanti EPMM のパッチ適用版 バージョン 11.12.0.5/12.3.0.2/12.4.0.2/12.5.0.1 への速やかな更新である。また、モバイル・デバイス管理 (MDM) システムに追加の制限と監視を実装し、サイバー・セキュリティのベストプラクティスに従うことを推奨している。
Ivanti の Endpoint Manager Mobile (EPMM) に存在する、2つの脆弱性を悪用するマルウェア展開と、その悪意のソフトウェアが紹介されています。これらの脆弱性の原因は、EPMM が利用しているオープンソース・ライブラリに存在する、認証バイパスとリモート・コード実行の欠陥です。これにより未認証の攻撃者であっても、サーバにアクセスでき、任意のコマンド実行や情報窃取が可能になっていました。ご利用のチームは、ご注意ください。よろしければ、Ivanti EPMM で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.