美国网络安全与基础设施安全局(CISA)发布了一项严重警告,内容涉及针对Ivanti端点管理器移动版(EPMM)系统的复杂恶意软件攻击活动。
网络犯罪分子正积极利用两个严重漏洞CVE-2025-4427和CVE-2025-4428来部署高级持续性威胁,这些威胁能够实现对目标服务器的完全系统入侵和任意代码执行。
在Ivanti于2025年5月13日披露这些漏洞后不久,攻击活动便开始出现。在概念验证代码发布后,威胁行为者于2025年5月15日左右开始利用这些漏洞。
这些漏洞影响所有Ivanti EPMM版本,包括11.12.0.4及更早版本、12.3.0.1及更早版本、12.4.0.1及更早版本以及12.5.0.0及更早版本,这对依赖移动设备管理基础设施的组织构成了巨大的攻击面。
恶意攻击者通过将身份验证绕过漏洞CVE-2025-4427与代码注入缺陷CVE-2025-4428相结合,展现出复杂的攻击技术,从而未经授权访问EPMM部署。
一旦进入系统,攻击者就会利用HTTP GET请求瞄准/mifs/rs/api/v2/端点,在?format=参数中嵌入恶意远程命令,从而能够收集系统信息、下载恶意负载、枚举网络资源并提取LDAP凭据。
CISA网络团队的分析师在调查过程中发现了两套不同的恶意软件,每套都包含复杂的加载程序和恶意监听程序,其设计目的是维持对已被入侵基础设施的持久访问。
第一组包含三个组件:加载器1(web-install.jar)、ReflectUtil.class和SecurityHandlerWanListener.class,而第二组包括加载器2(web-install.jar)和WebAndroidAppInstaller.class,每个组件在攻击链中都发挥着特定作用。
威胁行为者采用先进的规避技术绕过安全控制,有效地投放其恶意软件。
攻击者没有上传可能触发安全警报的完整恶意文件,而是将其有效载荷分割成多个Base64编码的块,并通过单独的HTTP请求传输每个片段。
这种方法有双重目的:规避基于特征的检测系统,并避开可能阻碍恶意软件成功部署的文件大小限制。
| 漏洞 | CWE分类 | 攻击向量 | CVSS影响 |
|---|---|---|---|
| CVE-2025-4427 | 使用替代路径绕过身份验证 | 远程 | 高/高/高 |
| CVE-2025-4428 | 代码注入 | 远程 | 高/高/高 |
高级有效载荷投递与持久化机制
恶意软件的部署过程展示了威胁行为者在受感染系统上建立和维持持久性方面非凡的技术成熟度。
攻击始于Java表达式语言注入技术,该技术通过有条不紊的基于块的重建过程,在/tmp目录中创建恶意JAR文件。
在初始有效载荷投递阶段,攻击者精心构造包含Java EL注入代码的HTTP GET请求,这些代码会创建FileOutputStream对象,将经过Base64解码的恶意软件片段直接写入目标系统。
恶意请求结构遵循以下模式:GET /mifs/rs/api/v2/featureusage?format=${""getClass().forName("java.io.FileOutputStream").getConstructor("".getClass(),"".getClass().forName("[Z").getComponentType()).newInstance("/tmp/web-install.jar",true).write("".getClass().forName("java.util.Base64").getMethod("getDecoder").invoke(null).decode("[BASE64_CHUNK]"))}。
这种技术使恶意软件能够规避基于特征的检测,同时在目标系统上重建完整的可执行文件。
一旦恶意软件组件成功部署,Set 1就会通过一个复杂的三阶段流程运行。
加载器1包含并动态加载ReflectUtil.class,该类随后会操作Java对象,将SecurityHandlerWanListener注入到受感染系统上运行的Apache Tomcat服务器中。
ReflectUtil.class组件绕过Java开发工具包模块限制,遍历对象上下文,并尝试使用伪装成合法JUnit框架组件的硬编码字符串加载恶意监听器类。
SecurityHandlerWanListener通过拦截包含预定身份验证令牌的特定HTTP请求来建立持久后门。
该监听器会监控包含字符串“pass 7c6a8867d728c3bb”、“Referer”头部以及头部值“https://www[.]live.com”的请求。
当这些条件得到满足时,恶意软件会从请求流中获取经过Base64编码的有效载荷,对其进行解码,并使用存储的密钥通过AES加密算法解密数据,从而创建能够实现任意代码执行的新Java类文件。
| 恶意软件组件 | 大小(字节) | 主要功能 | 加密方法 |
|---|---|---|---|
| 加载器1(web-install.jar) | 包含ReflectUtil.class | Base64编码 | |
| ReflectUtil.class | 注入SecurityHandlerWanListener | gzip压缩 | |
| SecurityHandlerWanListener类 | HTTP请求拦截 | 使用密钥7c6a8867d728c3bb的AES加密 | |
| WebAndroidAppInstaller类 | 有效载荷处理 | 采用密钥3c6e0b8a9c15224a的AES加密 |
第二组通过一种更精简但同样有效的方法运行,其中加载器2在运行时包含并加载WebAndroidAppInstaller.class。
该组件伪装成合法的com.mobileiron.service包的一部分,并拦截带有包含“application/x-www-form-urlencoded”的特定Content-Type头的HTTP请求。
这种恶意软件会从传入的请求中获取密码参数,使用硬编码密钥“3c6e0b8a9c15224a”执行Base64解码和AES解密操作,并根据解密后的指令动态创建新的恶意类。
这些攻击的复杂性质表明,威胁行为者对基于Java的企业应用程序有着深刻的理解,并且有能力利用复杂的软件架构来获取持久访问权。
各组织必须立即将其Ivanti EPMM安装升级到最新的补丁版本,并对移动设备管理系统实施额外监控,将这些系统视为需要加强安全控制和持续监视的高价值资产。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
