5月13日資安業者Ivanti修補Endpoint Manager Mobile(EPMM)身分驗證繞過漏洞CVE-2025-4427、遠端程式碼執行(RCE)漏洞CVE-2025-4428,並透露已有用戶遭到攻擊的現象,如今有研究人員公布最新調查結果,說明駭客如何利用這些漏洞。
資安業者Wiz針對上述漏洞說明細節,並指出雖然其CVSS風險值僅有5.3、7.2,但只要被串連利用,就會變得非常危險。
其中較為危險的CVE-2025-4428,存在於EPMM的功能DeviceFeatureUsageReportQueryRequestValidator,起因是在含有錯誤訊息的使用者輸入不安全的處理造成,而相關錯誤訊息是來自Spring元件的AbstractMessageSource。這樣的情況,使得攻擊者能控制Java表示式語言(Expression Language,EL)的注入。
另一項漏洞CVE-2025-4427,起因為EPMM路由組態不當請求處理所致。由於在Spring Security組態缺少<intercept-url>規則,導致路由組態(如/rs/api/v2/featureusage)會因此曝露。而這樣的弱點,能讓攻擊者在未經授權下存取其他RCE缺陷。
而對於駭客串連上述漏洞的攻擊行動,Wiz提及有4種,分別是散布滲透測試工具Sliver、竊取MySQL資料庫內容,以及上傳Web Shell或是反向Shell,這些活動從5月16日開始,大約是概念驗證程式碼(PoC)公開後不久就發生。
其中,他們提及使用Sliver的駭客,不久前也曾使用相同的C2伺服器,針對防火牆作業系統PAN-OS資安漏洞CVE-2024-0012、CVE-2024-9474(風險值為9.3、6.9)從事攻擊行動。另一項判斷結論是相同人馬發動這些看似不同的攻擊,理由在於:同樣的IP位址目前仍用於攻擊行動,而且,從去年11月到現在,使用的SSL憑證都沒有變更。
另一種針對MySQL的活動也相當值得留意,原因是IT人員可將MySQL設置為EPMM的後臺系統,並提供多種服務,其中包含利用此資料庫管理使用者帳密及存取控制。對於相關攻擊行動,Wiz看到攻擊者試圖從MySQL截取敏感資料表的內容。其中一組人馬甚至在Ivanti環境進一步偵察,目的可能是尋找更多使用者帳密及相關的系統資訊。
熱門新聞
2025-07-20
2025-07-20
2025-07-20
2025-07-18
2025-07-18
2025-07-18
