آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) گزارشی فنی منتشر کرده که در آن جزئیات بدافزارهای بهکاررفته در حملات علیه آسیبپذیریهای Ivanti Endpoint Manager Mobile (EPMM) بررسی شده است.
جزئیات آسیبپذیریهای Ivanti EPMM
دو آسیبپذیری اصلی که در این حملات مورد سوءاستفاده قرار گرفتهاند عبارتند از:
CVE-2025-4427: نقص احراز هویت در API که امکان دور زدن مکانیزمهای امنیتی را فراهم میکند.
CVE-2025-4428: آسیبپذیری تزریق کد (Code Injection) که اجرای کد دلخواه را روی سرور ممکن میسازد.
این ضعفها نسخههای توسعه و انتشار Ivanti EPMM شامل 11.12.0.4، 12.3.0.1، 12.4.0.1 و 12.5.0.0 و نسخههای قدیمیتر را تحت تأثیر قرار میدهند.
شرکت Ivanti در تاریخ ۱۳ می پچ امنیتی این مشکلات را منتشر کرد، اما مهاجمان پیش از آن بهصورت روز صفر (Zero-day) این باگها را در حملات محدود علیه برخی مشتریان بهرهبرداری کرده بودند.
حدود یک هفته بعد، پلتفرم EclecticIQ با اطمینان بالا اعلام کرد که یک گروه جاسوسی با منشأ چین، از تاریخ ۱۵ می این آسیبپذیریها را فعالانه مورد سوءاستفاده قرار داده است. محققان معتقدند این گروه آشنایی عمیقی با معماری داخلی Ivanti EPMM داشته و از اجزای سیستم برای استخراج دادهها استفاده کرده است.
تحلیل CISA از بدافزارها
برخلاف EclecticIQ، CISA به منشأ حملات اشاره نکرده و تنها بر جنبههای فنی فایلهای مخرب بهدستآمده از یک سازمان قربانی تمرکز کرده است.
CISA دو مجموعه بدافزار (شامل پنج فایل) را شناسایی کرده که مهاجمان برای دسترسی اولیه به سیستمهای On-premise EPMM استفاده کردهاند.
طبق گزارش:
«مهاجمان سایبری از مسیر
/mifs/rs/api/v2/و پارامتر?format=در درخواستهای HTTP GET برای اجرای دستورات مخرب استفاده کردهاند.»
این دستورات امکان جمعآوری اطلاعات سیستم، لیستگیری از دایرکتوری ریشه، نقشهبرداری شبکه، دریافت فایلهای آلوده و استخراج اعتبارنامههای LDAP را فراهم کرده است.
مجموعه اول بدافزار
web-install.jar (Loader 1)
ReflectUtil.class: مدیریت اشیای جاوا برای تزریق بدافزار
SecurityHandlerWanListener.class: شنونده مخرب برای اجرای کد، استخراج داده و ماندگاری در سیستم
مجموعه دوم بدافزار
web-install.jar (Loader 2)
WebAndroidAppInstaller.class: شنونده مخرب برای اجرای کد، ایجاد ماندگاری و استخراج داده
هر دو مجموعه عملکرد مشابهی داشتند و با رهگیری درخواستهای خاص HTTP، دادههای Base64 را دریافت، رمزگشایی و بارگذاری میکردند.
ابزارهای شناسایی ارائهشده توسط CISA
CISA برای کمک به سازمانها، مجموعهای از ابزارهای شناسایی شامل:
شاخصهای نفوذ (IOCs)
قوانین YARA
یک قانون SIGMA
را منتشر کرده است تا امکان کشف فعالیتهای مخرب مرتبط با این حملات فراهم شود.
توصیههای امنیتی CISA
در صورتی که سازمانها فایلهای مخرب مشابه نمونههای گزارششده را در سیستمهای خود بیابند، باید اقدامات زیر را انجام دهند:
ایزوله کردن میزبان آلوده
جمعآوری و تحلیل شواهد دیجیتال
تهیه یک ایمیج کامل از دیسک برای تحلیلهای بیشتر و اشتراکگذاری با CISA
بهعنوان اقدام پیشگیرانه، این آژانس توصیه میکند:
بلافاصله پچهای Ivanti EPMM را نصب کنید.
سیستمهای مدیریت دستگاههای همراه (MDM) را بهعنوان داراییهای با ارزش بالا (HVA) در نظر بگیرید.
محدودیتها و مانیتورینگ امنیتی اضافی برای این سامانهها اعمال کنید.
🔑 جمعبندی
آسیبپذیریهای Ivanti EPMM بار دیگر نشان دادند که مهاجمان، بهویژه گروههای سازمانیافته، به سرعت از باگهای روز صفر برای نفوذ به سازمانها استفاده میکنند. نصب بهموقع پچها، افزایش نظارت امنیتی و استفاده از قوانین شناسایی منتشرشده توسط CISA، نقش حیاتی در مقابله با چنین حملاتی دارد.
