[Actualización 19/05/2025] Múltiples vulnerabilidades en Endpoint Manager Mobile (EPMM) de Ivanti

Fecha de publicación 14/05/2025

Identificador

INCIBE-2025-0239

Importancia

4 - Alta

Recursos Afectados

Ivanti Endpoint Manager Mobile, versiones:

11.12.0.4 y anteriores;
12.3.0.1 y anteriores;
12.4.0.1 y anteriores;
12.5.0.0 y anteriores.

Descripción

Ivanti en su producto Endpoint Manager Mobile (EPMM) tiene 2 vulnerabilidades, una de severidad alta y otra media que, en caso de ser explotadas de forma combinada, podrían producir una ejecución no autenticada de código en remoto.

El fabricante informa que estas vulnerabilidades están siendo explotadas en un número reducido de usuarios.

Solución

Actualizar a las siguientes versiones:

11.12.0.5;
12.3.0.2;
12.4.0.2;
12.5.0.1.

Debido a que se conocen casos de que esta vulnerabilidad está siendo explotada, se recomienda actualizar los productos lo antes posible.

[Actualización 19/05/2025]

La compañía de ciberseguridad watchTowr ha desarrollado una herramienta para saber fácilmente si un sistema es susceptible a esta vulnerabilidad.

Detalle

Endpoint Manager Mobile (EPMM) tiene dos vulnerabilidades en las librerías open-source que emplea y que afectan al producto de la siguiente forma:

CVE-2025-4428, de severidad alta. Vulnerabilidad de ejecución de código en remoto, permite a atacantes ejecutar código arbitrario en el sistema afectado.
CVE-2025-4427, de severidad media. Vulnerabilidad de evitación de autenticación, permite a los atacantes acceder a recursos protegidos sin las debidas credenciales.

El problema afecta únicamente al producto EPMM. No se ven afectados por este problema Ivanti Neurons para MDM, la solución de gestión de endpoints unificada basada en la nube de Ivanti, Ivanti Sentry, ni ningún otro producto Ivanti.

[Actualización 19/05/2025]

Para buscar si esta vulnerabilidad ha sido explotada en el sistema de una organización, desde CERT-EU aconsejan buscar en los logs HTTP solicitudes inesperadas contra los endpoints de las API vulnerables, como:

        GET /mifs/rs/api/v2/featureusage?format=<USER_INPUT> HTTP/1.1
        GET /mifs/rs/api/v2/featureusage_history?format=<USER_INPUT> HTTP/1.1

Donde "<USER_INPUT>" no sea un de los valores esperados en la documentación, como "csv" o "json".

Listado de referencias

Ivanti - Security Advisory Ivanti Endpoint Manager Mobile (EPMM) May 2025 (CVE-2025-4427 and CVE-2025-4428)

Ivanti - EPMM Security Update

[Actualización 19/05/2025] watchTowr - Expression Payloads Meet Mayhem - Ivanti EPMM Unauth RCE Chain (CVE-2025-4427 and CVE-2025-4428)

[Actualización 19/05/2025] Github - Artefacto de Detección desarrollado por watchTowr

[Actualización 19/05/2025] CERT-EU - Zero-Day Vulnerabilities in Ivanti EPMM

Etiquetas