Ivanti EPMM von zwei aktiv ausgenutzten 0-Day-Sicherheitslücken betroffen

Benutzer von Ivanti EPMM müssen dringend Patches gegen aktiv ausgenutzte Zero-Day-Sicherheitslücken (CVE-2025-4427, CVE-2025-4428) installieren, die eine vorab authentifizierte Remotecodeausführung ermöglichen, warnt watchTowr.

Cybersicherheitsforscher bei watchTowr haben Details zu zwei Sicherheitslücken in der Software Ivanti Endpoint Manager Mobile (EPMM) veröffentlicht, die als CVE-2025-4427 und CVE-2025-4428 identifiziert wurden. Diese können kombiniert werden, um die vollständige Kontrolle über betroffene Systeme zu erlangen, und werden von Angreifern aktiv ausgenutzt.

Ivanti EPMM ist ein Mobile Device Management ( MDM )-Lösungssystem, das für die Unternehmenssicherheit von entscheidender Bedeutung ist. Es dient als zentrale Stelle zur Steuerung der Softwarebereitstellung und Durchsetzung von Richtlinien auf Mitarbeitergeräten. Die oben genannten Schwachstellen machen dieses Verwaltungstool jedoch zu einem potenziellen Einfallstor für böswillige Akteure. Eine Analyse von watchTowr, die Hackread.com vorliegt, zeigt, dass die Ausnutzung dieser Schwachstellen überraschend einfach ist.

Bei der ersten Sicherheitslücke, CVE-2025-4427, handelt es sich um eine Authentifizierungsumgehung , die es Angreifern ermöglicht, ohne gültige Anmeldeinformationen auf geschützte Bereiche des Ivanti EPMM-Systems zuzugreifen. Bei der zweiten Sicherheitslücke, CVE-2025-4428, handelt es sich um eine Remote Code Execution (RCE)-Schwachstelle. Wird diese ausgenutzt, können Angreifer eigenen Schadcode auf dem Server ausführen.

Ivanti selbst hat die Schwere der kombinierten Schwachstellen anerkannt und erklärt, dass eine erfolgreiche Ausnutzung zur Ausführung von nicht authentifiziertem Remotecode führen könne. Ivanti berichtete außerdem, dass seit Bekanntwerden der Schwachstellen nur eine sehr begrenzte Anzahl von Kunden betroffen sei.

Dies lässt darauf schließen, dass die Angriffe derzeit zwar gezielt erfolgen, sich aber noch weiter ausbreiten könnten. watchTowr weist darauf hin, dass Angreifer, sobald solche gezielten Angriffe öffentlich werden, häufig mit der Massenausnutzung der Angriffe beginnen, um verbleibende anfällige Systeme zu finden.

Interessanterweise gab Ivanti an, dass die Schwachstellen nicht im eigenen Code liegen, sondern „mit zwei in EPMM integrierten Open-Source-Bibliotheken in Zusammenhang stehen“. Sie betonten, dass die Verwendung von Open-Source-Code in der Technologiebranche gängige Praxis sei.

watchTower entdeckte eine RCE-Schwachstelle ( CVE-2025-4428 ) in der Hibernate-Validator-Bibliothek, die es Angreifern ermöglichte, Schadcode über einen Parameter namens „Format“ in API-Anfragen einzuschleusen. watchTower demonstrierte diese Schwachstelle erfolgreich durch das Senden einer einfachen Web-Anfrage, die eine Berechnung ausführte und damit die Möglichkeit der Code-Injektion bewies. Darüber hinaus konnten sie Systembefehle ausführen, beispielsweise eine Datei auf dem Server erstellen.

Bei der Authentifizierungsumgehung ( CVE-2025-4427 ) handelt es sich eher um ein Problem mit der Reihenfolge der Operationen als um eine herkömmliche Umgehung. Ein manipulierter „Format“-Parameter in einer Anfrage an den Endpunkt /api/v2/featureusage_history löst den anfälligen Validierungsprozess vor der Authentifizierungsprüfung aus. Dadurch kann ein nicht authentifizierter Angreifer die Codeausführungsschwachstelle auslösen. Das Vorhandensein des Parameters ändert die Verarbeitungsreihenfolge, sodass eine vorherige Anmeldung nicht mehr erforderlich ist.

watchTowr konnte diese beiden Schwachstellen im Ivanti EPMM-Server erfolgreich verketten, indem es eine manipulierte Web-Anfrage mit einem bösartigen „Format“-Parameter an den Endpunkt /rs/api/v2/featureusage schickte. Dadurch konnten Systembefehle ohne Anmeldung ausgeführt werden, wodurch ein vorauthentifiziertes RCE-Szenario erstellt wurde.

Diese Schwachstellen stellen ein kritisches Risiko für Unternehmen dar, die betroffene Versionen verwenden. Patches sind für die Versionen 11.12.0.5, 12.3.0.2, 12.4.0.2 und 12.5.0 verfügbar . Unternehmen, die ältere, ungepatchte Versionen verwenden, wird empfohlen, umgehend zu aktualisieren.