Ivanti EPMM’dagi yangi zaifliklar faol ekspluatatsiya qilinmoqda: CISA ogohlantirmoqda
2025-yilning may oyi kiberxavfsizlik sohasi uchun yana bir jiddiy tahdid bilan esda qolmoqda. AQShning Kiberxavfsizlik va infratuzilmani himoya qilish agentligi (CISA) Ivanti Endpoint Manager Mobile (EPMM) tizimida aniqlangan ikki muhim (zero-day) zaiflikni o‘zining “Faol ekspluatatsiya qilinayotgan zaifliklar” (Known Exploited Vulnerabilities, KEV) katalogiga qo‘shdi. Bu zaifliklar — CVE-2025-4427 va CVE-2025-4428 — ayni damda faol ravishda hujumchilar tomonidan ekspluatatsiya qilinmoqda va Ivanti EPMM tizimidan foydalanayotgan tashkilotlar uchun sezilarli xavf tug‘dirmoqda.
Mazkur zaifliklar dastlab Yevropa Ittifoqining kiberxavfsizlik bo‘yicha koordinatsion organi — CERT-EU tomonidan aniqlangan va Ivanti’ga xabar qilingan. Ular Spring Framework va Hibernate Validator kabi ommabop ochiq manbali kutubxonalarning noto‘g‘ri amalga oshirilgan versiyalaridan kelib chiqqan.
1. CVE-2025-4427 — Avtorizatsiyani chetlab o‘tish (Authentication Bypass)
Bu zaiflik EPMM’ning API komponentida joylashgan bo‘lib, hujumchiga maxsus shakllantirilgan API so‘rovlar orqali autentifikatsiyasiz himoyalangan resurslarga kirish imkonini beradi. Bunga sabab Spring Framework kutubxonasining noto‘g‘ri qo‘llanilishi bo‘lib, bu holat CWE-288 (Authentication Bypass) kategoriyasiga kiradi.
2. CVE-2025-4428 — Masofaviy kod ijrosi (Remote Code Execution)
Ushbu zaiflik hujumchiga EPMM API’si orqali maxsus tayyorlangan so‘rovlar yuborish orqali masofadan ixtiyoriy kodni bajarish imkonini beradi. Bu esa Hibernate Validator kutubxonasining ishonchsiz ishlatilishi natijasida yuzaga kelgan. U CWE-94 (Code Injection) toifasiga mansub.
Ekspluatatsiya zanjiri: ikki zaiflik qo‘shilganda xavf yanada oshadi
ProjectDiscovery tadqiqotchilari tomonidan aniqlanganidek, bu zaifliklar birgalikda ishlatilganda EPMM tizimida autentifikatsiyasiz masofaviy kod ijrosini amalga oshirishga imkon beradi. Spring MVC foydalanuvchi yuborgan query parametrlarini DeviceFeatureUsageReportQueryRequest obyektiga bog‘laydi. @Valid annotatsiyasi esa DeviceFeatureUsageReportQueryRequestValidator.isValid() metodini ishga tushiradi, u esa foydalanuvchining ishonchsiz format ma’lumotlarini xabar shabloniga joylaydi. Bu shablon EL (Expression Language) vositasi orqali darhol bajariladi. Eng xavflisi shundaki, faqat ushbu bosqichlardan so‘nggina xavfsizlik tekshiruvi (@PreAuthorize) amalga oshiriladi, lekin bu paytga kelib hujumchi allaqachon tizim ichkarisiga kirib ulgurgan bo‘ladi.
Zaifliklar quyidagi API nuqtalariga taalluqlidir:
/api/v2/featureusage/api/v2/featureusage_history
Omma e’tiboridagi ekspluatatsiya va statistik ma’lumotlar
2025-yil 15-may kuni WatchTower Labs jamoasi GitHub’da ekspluatatsiya qilishga oid proof-of-concept kodni e’lon qildi. Oradan ko‘p o‘tmay, Shadowserver Foundation hisobotiga ko‘ra, 19-may holatiga ko‘ra dunyo bo‘ylab 798 ta EPMM instansiyasi hali ham zaif holatda qolmoqda. Bu ko‘rsatkich 16-may kuni 940 ta edi, ya’ni tahdid hali ham mavjudligicha qolmoqda.
Ilgari aniqlangan Ivanti zaifliklari: xavfli ketma-ketlik davom etmoqda
Bu hodisa Ivanti uchun bu yil ichida uchinchi bor sodir bo‘layotgan katta xavfsizlik muammosidir. Yanvar oyida Connect Secure VPN qurilmalarida bir nechta 0-kun zaifliklari ekspluatatsiya qilingan edi. Mart oyida esa yana uchta muhim EPMM zaifligi CISA KEV katalogiga qo‘shilgan. Aprel oyida esa Xitoy davlat homiyligidagi APT guruhlari CVE-2025-22457 nomli yana bir zaiflikni ekspluatatsiya qilgani aniqlangan edi.
Texnik tavsif (CVE’lar jadvali)
| CVE | Ta’sir ko‘rsatadigan mahsulotlar | Xavf turi | Shartlar | CVSS 3.1 bahosi |
|---|---|---|---|---|
| 4427 | Ivanti EPMM ≤12.5.0.0 (on-prem) | API orqali avtorizatsiyani chetlab o‘tish | API’ga tarmoq orqali kirish | 5.3 (o‘rta daraja) |
| 4428 | Ivanti EPMM ≤12.5.0.0 (on-prem) | Autentifikatsiyalangan RCE | API orqali kod yuborish (4427 orqali kiriladi) | 7.2 (yuqori daraja) |
Tavsiya etiladigan yechimlar
Ivanti kompaniyasi ushbu zaifliklardan himoyalanish uchun quyidagi versiyalarga zudlik bilan yangilanishni tavsiya qilmoqda:
- 11.12.0.5
- 12.3.0.2
- 12.4.0.2
- 12.5.0.1
Agar yangilash imkoniyati bo‘lmasa, kompaniya quyidagilarni amalga oshirishni maslahat beradi:
- API trafikni Portal ACL’lar orqali filtratsiya qilish
- Tashqi Web Application Firewall (WAF) dan foydalanish
Shuni alohida ta’kidlash kerakki, bu zaifliklar faqat on-premises EPMM instansiyalariga taalluqli bo‘lib, Ivanti Neurons for MDM, Ivanti Sentry va boshqa bulutga asoslangan mahsulotlarga ta’sir qilmaydi.
KEV katalogi — muhim xavflarni ustuvorlik bilan bartaraf etish vositasi
CISA’ning KEV katalogi 2021-yil noyabrida ishga tushirilgan bo‘lib, 2024-yil davomida unga 185 ta yangi zaiflik qo‘shildi. Hozirda katalogda umumiy hisobda 1,238 ta yuqori xavfga ega zaiflik mavjud. Bu katalog davlat va xususiy sektor tashkilotlari uchun zaifliklarni ustuvorlik bilan tuzatishda muhim manba hisoblanadi.
