Erst im vergangenen Monat wurde die Schwachstelle CVE-2025-22457 (CVSS 9.8), die Ivanti Connect Secure, Policy Secure und ZTA Gateways betrifft, als Vektor für Ransomware erkannt. Jetzt wurden zwei neue CVEs zur wachsenden Liste der risikoreichen Ivanti-Schwachstellen hinzugefügt: CVE-2025-4427 und CVE-2025-4428, die Ivanti EPMM (Endpoint and Patch Management Mobile) betreffen, werden aktiv ausgenutzt.
Greenbone beinhaltet aktive Tests zur Prüfung und Versionserkennung, die sowohl die neuen CVEs als auch viele andere Schwachstellen in Ivanti-Produkten adressieren. So können Benutzer verwundbare Instanzen identifizieren, mit dem Patch-Prozess fortfahren und die Sicherheitskonformität überprüfen, sobald die Patches angewendet wurden. In diesem Blogbeitrag gehen wir auf die technischen Details der beiden neuen CVEs ein und bewerten die Rolle, die Ivanti im globalen Cyber-Risikokalkül gespielt hat.
CVEs in Ivanti EPMM für unautorisierten Zugriff
Zum Zeitpunkt der Offenlegung gab Ivanti zu, dass EPMM-Kunden mit inhouse installierten Lösungen bereits angegriffen wurden. Das Cloud-Sicherheitsunternehmen Wiz erklärt, dass jedoch auch selbst verwaltete Cloud-Instanzen von Angreifern effektiv ausgenutzt wurden. Eine vollständige technische Beschreibung der Angriffskette ist öffentlich zugänglich, was die Entwicklung von Exploits für Angreifer erleichtert und das Risiko weiter erhöht.
Hier eine kurze Zusammenfassung der einzelnen Schwachstellen:
- CVE-2025-4427 (CVSS 5.3): Eine Umgehung der Authentifizierung in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher ermöglicht Angreifern den Zugriff auf geschützte Ressourcen ohne entsprechende Anmeldeinformationen über die API.
- CVE-2025-4428 (CVSS 7.2): Remote Code Execution (RCE) in der API-Komponente von Ivanti EPMM 12.5.0.0 und früher erlaubt authentifizierten Angreifern die Ausführung von beliebigem Code über manipulierte API-Requests.
Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben. Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren. Wenn ein sofortiges Patchen nicht möglich ist, empfiehlt Ivanti, den API-Zugriff entweder mit den integrierten Portal-ACLs (Access Control Lists mit dem Typ „API Connection“) oder einer externen WAF (Web Application Firewall) einzuschränken. Von netzwerkbasierten ACLs rät der Hersteller ab, da sie einige EPMM-Funktionen blockieren können. Diese Maßnahmen verringern zwar das Risiko, können aber die Funktionalität bestimmter EPMM-Integrationen, wie Microsoft Autopilot und Graph API, beeinträchtigen. Ivanti bietet auch eine RPM-Datei an, die zum Patchen von EPMM über den Command Line Access via SSH verwendet werden kann.
Die Invanti EPMM Exploit-Kette
Die Exploit-Kette in Ivanti EPMM beginnt mit CVE-2025-4427. Aufgrund einer unsicheren Konfiguration in der Datei security.xml in der Anwendung verarbeiten bestimmte Endpunkte (insbesondere /rs/api/v2/featureusage) die Anfragen teilweise, wenn der Parameter format angegeben wird. Diese Pre-Auth-Verarbeitung ermöglichte es nicht authentifizierten Anfragen, auf Funktionen zuzugreifen, die geschützt sein sollten. Dieser durch CVE-2025-4427 verursachte Fehler in der Zugriffskontrolle schafft die Voraussetzungen für RCE über CVE-2025-4428.
CVE-2025-4428 ermöglicht RCE mithilfe einer EL-Injection (Expression Language) in HTTP-Anfragen. Wenn der in einem Request übergebene Parameter format gemäß der EPMM-Spezifikation ungültig ist (weder „cve“ noch „json“), wird sein Wert ohne Bereinigung an eine Fehlermeldung angehängt und über die Message Templating Engine von Spring Framework protokolliert. Durch die Bereitstellung speziell gestalteter Werte im Format-Parameter können Angreifer beliebigen Java-Code ausführen, da die protokollierte Nachricht als EL-formatierter String gewertet wird.
Forscher haben darauf hingewiesen, dass diese Risiken im Zusammenhang mit Nachrichten-Templating-Engines gut dokumentiert sind, und haben die Behauptungen von Ivanti zurückgewiesen, dass die Schwachstelle auf einen Fehler in einer Bibliothek eines Drittanbieters zurückzuführen ist und nicht auf ein eigenes Versehen. Wenn Ihnen die Bedingungen, die zur Ausnutzung von CVE-2025-4428 führen, bekannt vorkommen, erinnern sie an die berüchtigte Log4Shell-Schwachstelle. Wie Log4Shell resultiert CVE-2025-4428 aus der Übergabe von unbereinigten Benutzereingaben an eine Expression Engine, die spezielle Befehle aus einer formatierten Zeichenfolge interpretiert. Im Fall von Log4Shell könnte eine böswillige String-Formatierung in JNDI-Lookups (z. B. ${jndi:ldap://…}) einen RCE auslösen.
Risikobewertung: Angreifer dringen über Ivanti-Lücken vor
Ivanti steht seit einigen Jahren in der Kritik. Angreifer haben häufig Schwachstellen in den Produkten von Ivanti ausgenutzt, um sich Zugang zu den Netzwerken ihrer Opfer zu verschaffen. Über alle Produktlinien hinweg hat der Anbieter seit Anfang 2023 61 CVEs mit kritischem Schweregrad (CVSS >= 9.0) erhalten. 30 davon wurden in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen, obwohl die tatsächliche Zahl der aktiv ausgenutzten Schwachstellen höher sein dürfte. Ivanti CVEs haben eine hohe Konversionsrate für die Verwendung in Ransomware-Angriffen. CISA verzeichnet acht CVEs in dieser Kategorie.
Anfang 2024 gaben die ENISA, CERT-EU und Europol eine gemeinsame Erklärung zur aktiven Ausnutzung der Produkte Ivanti Connect Secure und Policy Secure Gateway ab. In den USA wies die CISA alle zivilen Bundesbehörden an, diese Produkte vom Netz zu nehmen und davon auszugehen, dass sie missbraucht worden waren [1][2]. Die CISA, das FBI und Cybersicherheitsbehörden aus Großbritannien, Australien und Kanada gaben eine gemeinsame Meldung heraus, in der sie vor den laufenden Angriffen warnten. Ende 2024 warnte die CISA zusätzlich vor einer aktiven Ausnutzung der Ivanti Cloud Service Appliances (CSA) und wies darauf hin, dass sowohl staatlich finanzierte als auch finanziell motivierte Bedrohungsakteure erfolgreich auf nicht gepatchte Systeme abzielten.
Am 8. Januar 2025 warnte die CISA davor, dass die neu veröffentlichten Sicherheitskücken CVE-2025-0282 und CVE-2025-0283 in Ivanti Connect Secure, Policy Secure und ZTA Gateways ebenfalls aktiv ausgenutzt werden. Leider verwendeten Angreifer bis weit in das Jahr 2025 hinein neue Schwachstellen in Ivanti-Produkten, darunter CVE-2025-22457 [3][4] sowie jetzt die zwei neuen CVEs in EPMM (siehe oben).
Dennis Kozak hat Jeff Abbott mit Wirkung vom 1. Januar 2025 als CEO von Ivanti abgelöst, obwohl Jeff Abbott schon ab Mitte 2024 eine verbesserte Produktsicherheit zugesagt hatte. Es wurde keine öffentliche Erklärung abgegeben, in der die Nachfolge mit den Sicherheitsproblemen des Unternehmens aus Utah in Verbindung gebracht wurde, allerdings geschah dies nur wenige Wochen vor der Ablösung. Die Führungskräfte wurden nicht aufgefordert, vor dem US-Kongress auszusagen, wie es viele andere Führungskräfte im Bereich der Cybersicherheit nach hochriskanten Vorfällen getan haben, darunter Sudhakar Ramakrishna, CEO von SolarWinds, Brad Smith, Präsident von Microsoft, und George Kurtz, CEO von CrowdStrike.
Echos aus der Vergangenheit von EPMM: CVE-2023-35078 und CVE-2023-35082
Zusätzlich zu den oben beschriebenen Schwachstellen ermöglichten CVE-2023-35078 (CVSS 9.8) und CVE-2023-35082 (CVSS 9.8), die im Juli bzw. August 2023 veröffentlicht wurden, unauthentifizierte RCE für Ivanti EPMM. Die breite Ausnutzung begann fast unmittelbar nach ihrer Veröffentlichung im Jahr 2023.
CVE-2023-35078 wurde ausgenutzt, um in die norwegische Regierung einzudringen und die Daten von zwölf Ministerien zu kompromittieren [3][4]. Die CISA gab eine dringende Empfehlung (AA23-214A) heraus, in der sie auf die bestätigte Ausnutzung durch APT-Akteure (Advanced Persistent Threats) hinwies und allen Bundesbehörden riet, sofortige Maßnahmen zur Schadensbegrenzung zu ergreifen. Selbst im Jahr 2023 unterstrichen die Geschwindigkeit und das Ausmaß der Angriffe das wachsende Profil von Ivanti als Wiederholungstäter, der Spionage und finanziell motivierte Cyberkriminalität ermöglicht.
Zusammenfassung
Ivanti EPMM ist anfällig für zwei neue Schwachstellen: CVE-2025-4427 und CVE-2025-4428 können für unautorisierte RCE kombiniert werden. Sie werden derzeit aktiv ausgenutzt und unterstreichen ein beunruhigendes Muster von hochgradig gefährlichen Schwachstellen in Ivanti-Produkten. Ivanti hat Patches veröffentlicht, um die Schwachstellen zu beheben, und Benutzer sollten EPMM mindestens auf Version 11.12.0.5, 12.3.0.2, 12.4.0.2 oder 12.5.0.1 aktualisieren.
Die Fähigkeiten von Greenbone zur Erkennung von Schwachstellen umfassen auch Tests für CVE-2025-4427 und CVE-2025-4428, die es Ivanti EPMM-Benutzern ermöglichen, alle anfälligen Instanzen zu identifizieren und die Einhaltung der Sicherheitsvorschriften zu überprüfen, sobald die Patches angewendet wurden.
