- Los atacantes de ataque de CISA encadenaron para violar CVE -2025-4427 y CVE -2025-4428 Ivanti Epmm Systems
- El malware se suministró a través de la inyección L y se reestructuró desde las cargas útiles de base 64 con acceso
- La CISA no confirmó la actitud; Los informes sugieren dirigidos a los posibles chinos de la entidad australiana
La Agencia de Seguridad de CiberCquire e Infraestructura de EE. UU. (CISA) advierte a las compañías que combinen casi dos fallas de Evanti irrantiles en ataques de vida real.
En un nuevo asesor de seguridad, la CISA dijo que se sugirió sobre los ciberdelincuentes que utilizan CVE-2025-4427 y CVE-2025-4428-the Endpoint Endpoint Manager (EPMM) resuelto para obtener acceso primario a New.
El anterior es el EPM 12.5.0.0 y una autenticación de los componentes API anteriores, lo que permite a los atacantes acceder a los recursos protegidos sin el certificado apropiado a través de API. Se le dio una puntuación aguda de 7.5/10 (alta) y fue parche en mayo de 2025. Por otro lado, el material API del EPMM tiene un error de ejecución de código remoto (RCE), que permite a los invasores inseguros ejecutar un código voluntario a través de solicitudes de API de artesanía. Se le dio una puntuación aguda de 8.8/10 (alta) y se fijó al mismo tiempo.
Caída de malware
La CISA informó que los atacantes usaron estos dos defectos para descartar dos conjuntos de malware en una cadena.
El primero incluye ingredientes que inyectan a una audiencia contaminada en Apache Tomcat, de modo que sus solicitudes específicas de HTTP impiden la solicitud y permiten implementar el Código Java voluntario. El segundo conjunto de malware administra la misma manera, pero use una clase separada para procesar los parámetros de contraseña codificados en las solicitudes HTTP.
Ambos conjuntos se distribuyeron utilizando la inyección del lenguaje de expresión Java (EL) a través de la solicitud GET HTTP, explicaron los investigadores. Las cargas útiles se codificaron en la base 64 y se escribieron en directores temporales en partes y luego se reestructuraron. De esta manera, los atacantes pudieron evitar ser detectados por el equipo tradicional de protección del TAIT.
La CISA no discutió la actitud, formalmente, no sabemos que los actores de amenaza o víctimas estaban en el ataque. RegistroSin embargo, los informes anteriores citaron que probablemente podría ser un ataque chino patrocinado por el estado después de una compañía en Australia.
A través de Registro
