Первая уязвимость (CVE-2025-4427 , CVSS: 5.3) позволяет обойти аутентификацию в API-компоненте системы, открывая доступ к защищённым ресурсам. Вторая ошибка (CVE-2025-4428 , CVSS: 7.2) даёт возможность выполнить произвольный код через специально сформированные API-запросы. В связке эти уязвимости могут быть использованы для полного захвата системы без авторизации.
Ivanti выпустила обновления , устраняющие обе уязвимости, в версиях EPMM 11.12.0.5, 12.3.0.2, 12.4.0.2 и 12.5.0.1. Компания сообщила, что в момент раскрытия уже зафиксированы ограниченные случаи успешной эксплуатации уязвимостей. Однако точные индикаторы компрометации пока не предоставлены — компания продолжает расследование и призывает клиентов обращаться в техподдержку для получения рекомендаций.
По данным платформы Shadowserver, в интернете обнаружено несколько сотен экземпляров Ivanti EPMM, находящихся в зоне риска, особенно в Германии и США. Это делает ситуацию особенно критичной, учитывая десятки прошлых инцидентов с участием Ivanti — ранее злоумышленники уже эксплуатировали нулевые уязвимости в их VPN-аппаратах и шлюзах ICS, IPS и ZTA.
Параллельно с этим Ivanti устранила ещё одну критическую уязвимость — CVE-2025-22462 в решении Neurons for ITSM. Она также позволяет обойти аутентификацию и получить административный доступ. Ещё одна ошибка — CVE-2025-22460 — связана с использованием учётных записей по умолчанию в Cloud Services Appliance (CSA), что позволяет локальным пользователям повышать привилегии.
Контекст усиливается тем, что в январе ФБР и CISA выпустили совместное предупреждение : атаки на уязвимые продукты Ivanti не прекращаются, несмотря на выход обновлений, и продолжают представлять угрозу для инфраструктур, не успевших установить защиту.