Kritiske 0-dagssårbarheder i Ivanti EPMM udnyttet i målrettede angreb

Ivanti har identificeret to 0-dagssårbarheder i deres Endpoint Manager Mobile (EPMM) produkt, tidligere kendt som MobileIron Core. Disse sårbarheder, CVE-2025-4427 og CVE-2025-4428, kan kædes sammen, hvilket muliggør uautoriseret fjernudførelse af kode på sårbare systemer. Det skriver Dark Reading.

CVE-2025-4427 er en autentifikationsomgåelse, der tillader uautoriseret adgang til EPMM's API, mens CVE-2025-4428 er en kritisk sårbarhed, der muliggør fjernafvikling af kode. Når de kombineres, kan en angriber opnå fuld kontrol over et sårbart system.

Aktiv udnyttelse og målrettede angreb

Ifølge Ivanti er der allerede observeret målrettede angreb, hvor disse sårbarheder udnyttes i kombination. Selvom antallet af berørte kunder er begrænset, understreger situationen behovet for hurtig handling. 

Tidligere har lignende sårbarheder i Ivanti EPMM været udnyttet i angreb mod norske regeringssystemer, hvor trusselsaktører udnyttede sårbarhederne CVE-2023-35078 og CVE-2023-35081 til at kompromittere netværk og stjæle følsomme oplysninger.  

Afhjælpning tilgængelig

Ivanti har udsendt sikkerhedsopdateringer, der adresserer disse sårbarheder. Det anbefales, at alle organisationer, der anvender EPMM, opdaterer til følgende versioner: 11.12.0.5, 12.3.0.2, 12.4.0.2 eller 12.5.0.1. 

For yderligere beskyttelse anbefales det at begrænse adgangen til EPMM's API'er ved hjælp af Ivantis indbyggede Portal ACLs eller en tredjeparts webapplikationsfirewall, fremgår det. Det bemærkes, at begrænsningerne kan påvirke visse integrationer afhængigt af systemets konfiguration.

Også CERT-EU har bemærket sårbarheden og opfordrer organisationer til at gennemgå deres systemer, anvende de nødvendige opdateringer og implementere anbefalede sikkerhedsforanstaltninger for at beskytte mod potentielle angreb.