CVE-2025-4428

Ivanti Endpoint Manager Mobile (EPMM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-05-19

Официальное описание

Ivanti Endpoint Manager Mobile (EPMM) contains a code injection vulnerability in the API component that allows an authenticated attacker to remotely execute arbitrary code via crafted API requests. This vulnerability results from an insecure implementation of the Hibernate Validator open-source library, as represented by CVE-2025-35036.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-4428 представляет собой критическую уязвимость типа Code Injection в API-компоненте Ivanti Endpoint Manager Mobile (EPMM). Проблема вызвана небезопасной реализацией библиотеки с открытым исходным кодом Hibernate Validator (связанная уязвимость CVE-2025-35036).

Аутентифицированный злоумышленник с доступом к API может отправить специально сформированные запросы, которые приводят к выполнению произвольного кода (RCE) на сервере. Уязвимость позволяет полностью скомпрометировать мобильную инфраструктуру управления предприятием, получить доступ к конфиденциальным данным и закрепиться в сети.

Как исправить

Основным способом устранения уязвимости является обновление Ivanti EPMM до версий, в которых исправлена логика взаимодействия с Hibernate Validator.

  1. Выполните резервное копирование конфигурации и базы данных Core перед началом работ.
  2. Проверьте текущую версию системы в консоли администратора.
  3. Установите соответствующие патчи или обновитесь до следующих версий (или выше):
  4. EPMM 12.1.0.3
  5. EPMM 12.2.0.1
  6. EPMM 11.12.0.4

Для проверки доступных обновлений через CLI используйте:

software check

Для запуска процесса обновления:

software update

После установки обновления необходимо перезагрузить систему для применения изменений:

reload

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  • Ограничение доступа к API: Настройте правила межсетевого экрана (ACL), чтобы разрешить доступ к API-интерфейсам EPMM только с доверенных IP-адресов администраторов или внутренних сегментов сети.
  • Мониторинг логов: Настройте SIEM-систему на поиск аномальных POST-запросов к API, содержащих подозрительные конструкции Java-выражений или попытки обращения к системным вызовам.
  • Аудит учетных записей: Проверьте список всех пользователей с правами API и отозвите доступ у неиспользуемых или подозрительных аккаунтов, так как для эксплуатации требуется аутентификация.
  • Использование WAF: Настройте Web Application Firewall на блокировку запросов, содержащих паттерны внедрения кода в параметрах валидации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей