CVE-2025-4427

Суть уязвимости

CVE-2025-4427 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в компоненте API продукта Ivanti Endpoint Manager Mobile (EPMM). Проблема вызвана некорректной реализацией механизмов безопасности в используемой библиотеке Spring Framework.

Злоумышленник может отправить специально сформированные API-запросы, которые позволяют миновать проверку учетных данных и получить доступ к защищенным ресурсам системы. Уязвимость не требует предварительной авторизации, что делает её крайне опасной для инфраструктуры управления мобильными устройствами.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление Ivanti EPMM до версий, в которых исправлена логика обработки API-запросов.

1. Выполните резервное копирование конфигурации и базы данных системы.
2. Проверьте текущую версию через консоль администратора.
3. Установите соответствующие патчи или обновитесь до следующих версий (или выше):
4. Ivanti EPMM 12.1.0.1
5. Ivanti EPMM 12.0.0.3
6. Ivanti EPMM 11.12.0.2

Для проверки наличия доступных обновлений через CLI используйте:

software check

Для запуска процесса обновления:

software update

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и усилить мониторинг:

1. Ограничьте доступ к административному интерфейсу и API EPMM на сетевом уровне (Firewall/ACL), разрешив подключения только с доверенных IP-адресов администраторов.
2. Настройте правила на Web Application Firewall (WAF) для блокировки подозрительных паттернов в URL-путях API, характерных для обхода Spring Security (например, использование двойных слешей, специфических символов точки с запятой или манипуляций с расширениями).
3. Включите расширенное логирование HTTP-запросов и анализируйте логи на предмет ответов 200 OK на запросы к /mifs/services/ или /api/v2/, исходящие от неавторизованных внешних источников.
4. Проверьте журналы системы на наличие аномальной активности:

show log system tail