Kritische 0-Day-Lücke in Ivanti EPMM wird aktiv ausgenutzt

21. Mai 2025

Sicherheitsforscher schlagen Alarm: Eine gravierende Schwachstellenkette in Ivantis Endpoint Manager Mobile (EPMM) wird derzeit gezielt von Angreifern ausgenutzt. Die beiden Sicherheitslücken – eine Authentifizierungsumgehung (CVE-2025-4427) und eine Remote-Code-Execution-Schwachstelle (CVE-2025-4428) – ermöglichen es Angreifern, ohne Anmeldung beliebigen Code auf verwundbaren Systemen auszuführen.

Obwohl die einzelnen Schwachstellen mit CVSS-Werten von 5,3 und 7,2 bewertet wurden, steigert ihre Kombination das Risiko erheblich und macht sie zu einem kritischen Angriffsvektor. Seit dem 16. Mai – nur Tage nach der Veröffentlichung von Proof-of-Concept-Exploits durch mehrere Sicherheitsunternehmen – wurden erste Angriffe beobachtet.

So funktioniert die Angriffskette

Die Angriffskette beginnt mit einer unzureichend gesicherten API-Routenführung: Einige Endpunkte, darunter /rs/api/v2/featureusage, sind ohne Authentifizierung zugänglich. Diese Fehlkonfiguration erlaubt es Angreifern, sensible Systembereiche zu erreichen – ganz ohne Zugangsdaten.

In einem zweiten Schritt nutzen sie die RCE-Schwachstelle in der Komponente DeviceFeatureUsageReportQueryValidator. Durch manipulierte Formatierungsparameter können Angreifer über die Java-Bibliothek Spring AbstractMessageSource schadhaften Code injizieren und ausführen. Das Resultat: Eine vollständige Kompromittierung des Systems.

Welche Systeme sind betroffen – und was ist zu tun?

Ivanti hat bestätigt, dass zahlreiche EPMM-Versionen betroffen sind – konkret alle Ausgaben bis einschließlich:

• 11.12.0.4

• 12.3.0.1

• 12.4.0.1

• 12.5.0.0

Unternehmen, die diese Versionen im Einsatz haben, sollten umgehend die von Ivanti bereitgestellten Sicherheitsupdates installieren. Besonders kritisch ist die Lage in Cloud-Umgebungen, in denen EPMM-Instanzen direkt aus dem Internet erreichbar sind – eine ideale Angriffsfläche.

Raffinierter Angreifer identifiziert

Sicherheitsanalysten von Wiz Research haben einen aktiven Bedrohungsakteur ausgemacht, der gezielt Cloud-Infrastrukturen attackiert. Die kompromittierten Systeme wurden mit sogenannten Sliver-Beacons infiziert, die mit einem Command-and-Control-Server unter der IP-Adresse 77.221.157.154 kommunizieren. Diese IP war bereits Teil früherer Kampagnen, die Schwachstellen in PAN-OS ausnutzten – darunter CVE-2024-0012 und CVE-2024-9474.

Der Angreifer scheint auf Kontinuität zu setzen: Seit November 2024 wird das gleiche SSL-Zertifikat verwendet, und auch andere zugehörige Server und Domains – etwa elektrobohater.pl, wagodirect.pl und e-wago.pl – lassen auf eine gut organisierte Infrastruktur schließen.

Fazit

Der Vorfall zeigt erneut, wie schnell und gezielt professionelle Angreifer auf neu entdeckte Schwachstellen reagieren. Unternehmen, die EPMM einsetzen, sollten keine Zeit verlieren und ihre Systeme umgehend absichern.

Redaktion AllAboutSecurity