Злоумышленники использовали уязвимости CVE-2025-4427 и CVE-2025-4428, обе из которых применялись в атаках в нулевой день до того, как Ivanti выпустила обновления в мае 2025 года.
Первая уязвимость позволяет обойти аутентификацию и получить доступ к защищённым ресурсам, а вторая — выполнять произвольный код удалённо, пишет Securitylab. В связке они открывают возможность для неавторизованного выполнения произвольных команд на уязвимом сервере EPMM. CISA отмечает, что атака началась около 15 мая 2025 года, вскоре после публикации PoC-эксплойта.
Злоумышленники использовали доступ для выполнения команд, которые позволили собрать системную информацию, загрузить вредоносные файлы, получить список содержимого корневого каталога, провести разведку сети, запустить скрипт для создания дампа кучи и извлечь учётные данные LDAP. На сервер были загружены два различных набора вредоносных файлов, оба в каталог /tmp, каждый из которых обеспечивал устойчивость путём инъекции и выполнения произвольного кода:
В обоих случаях JAR-файл запускал Java-класс, функционирующий как вредоносный HTTP-приёмник. Эти классы перехватывали определённые запросы, расшифровывали вложенные в них полезные нагрузки и динамически создавали новый класс, исполняемый прямо в памяти.
В частности, ReflectUtil.class использовался для манипуляции объектами Java и инъекции компонента SecurityHandlerWanListener в среду выполнения Apache Tomcat. Этот приёмник перехватывал HTTP-запросы, декодировал и расшифровывал данные, после чего выполнял сгенерированный класс.
Второй компонент (WebAndroidAppInstaller.class) использовал жёстко заданный ключ для расшифровки параметра пароля из запроса, на основе которого формировался и исполнялся новый класс. Его результат затем снова шифровался тем же ключом и отправлялся в ответе.
Таким образом, обе цепочки обеспечивали скрытую возможность для удалённого выполнения кода, постоянного присутствия в системе и организации последующих этапов атаки, включая перехват и обработку HTTP-трафика с целью извлечения данных.