kalafoto - Fotolia

Actualites

Ivanti Endpoint Manager Mobile : une vulnérabilité notamment exploitée par un acteur chinois

Mi-mai, Ivanti a dévoilé deux vulnérabilités affectant sa solution de MDM. Enchaînée, leur exploitation permet de prendre le contrôle d’instances exposées sur Internet. EclecticIQ estime que des acteurs malveillants chinois en profitent.

Valéry Rieß-Marchive
par
Publié le: 26 mai 2025

Le 13 mai, Ivanti levait le voile sur deux vulnérabilités affectant sa solution de MDM Ivanti Endpoint Manager Mobile (EPMM).

Référencée CVE-2025-4427, la première permet de contourner les mécanismes d’authentification protégeant l’API de la solution. La seconde, référencée CVE-2025-4428, affecte l’API elle-même et permet, avec une exploitation réussie, de forcer l’exécution de code arbitraire à distance (RCE). L’exploitation enchaînée des deux permet donc d’obtenir une RCE sans authentification.

Les versions d’Ivanti EPMM affectées sont les 11.12.0.4 et antérieures, 12.3.0.1 et antérieures, 12.4.0.1 et antérieures, ainsi que 12.5.0.0 et antérieures. Des correctifs sont disponibles depuis le 22 mai. Avant leur application, la prévention de l’exploitation de ces vulnérabilités passe par le filtrage des requêtes à l’API, notamment à l’aide d’un pare-feu applicatif (WAF) tiers.

Arda Büyükkaya, chercheur chez EclecticIQ, explique que les analystes de l’éditeur ont « observé une exploitation active de cette chaîne de vulnérabilité, visant les déploiements Ivanti EPMM exposés sur Internet. La première activité d’exploitation observée remonte au 15 mai 2025 ».

L’éventail des organisations concernées est large, jusqu’à « des secteurs critiques tels que la santé, les télécommunications, l’aviation, l’administration municipale, la finance et la défense en Europe, en Amérique du Nord et dans la région Asie-Pacifique ».

En outre, « sur la base des tactiques, techniques et procédures (TTP) observées, EclecticIQ attribue avec une grande confiance cette activité à UNC5221, un groupe d’espionnage chinois précédemment lié à l’exploitation de vulnérabilités inédites affectant des équipements réseau de périphérie depuis au moins 2023 ».

L’un des indices est le recours au maliciel KrustyLoader, utilisé pour implanter une porte dérobée. Cette dernière est utilisée pour extraire, à distance, de la base de données MySQL interne à Ivanti EPMM, les détails des terminaux administrés et de leurs utilisateurs.

Les analystes d’EclecticIQ ont en outre observé le déploiement d’un serveur mandataire inverse « fréquemment utilisé par des acteurs malveillants associés aux groupes d’espionnage chinois ».

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)