A CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) emitiu um alerta urgente sobre a exploração ativa de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM). Segundo a agência, os ataques recentes permitem que invasores executem código remotamente em servidores corporativos, colocando em risco dados sensíveis e a infraestrutura de TI de organizações em todo o mundo. Este alerta destaca a necessidade imediata de atenção de administradores de sistemas, equipes de segurança e gestores de TI.
O presente artigo detalha as falhas identificadas, CVE-2025-4427 e CVE-2025-4428, explica como os atacantes estão explorando essas vulnerabilidades com malware sofisticado e apresenta as medidas de mitigação recomendadas pela CISA e pela própria Ivanti. Entender essas ameaças é essencial para proteger servidores e dispositivos móveis corporativos de comprometimentos graves.
A gravidade do problema é acentuada pelo fato de que se trata de uma exploração de dia zero, permitindo que agentes maliciosos acessem e controlem servidores sem necessidade de autenticação legítima. Para empresas que utilizam o Ivanti EPMM como solução de gerenciamento de dispositivos móveis, a atenção a este alerta não pode ser negligenciada.
O que são as vulnerabilidades do Ivanti EPMM
As vulnerabilidades em questão afetam diretamente o módulo de gerenciamento de endpoints móveis da Ivanti, sendo exploradas de forma combinada para permitir acesso não autorizado e execução remota de código.
CVE-2025-4427: o desvio de autenticação
A CVE-2025-4427 trata de uma falha de desvio de autenticação, na qual um invasor consegue contornar os mecanismos de login do Ivanti EPMM. Basicamente, essa vulnerabilidade permite que o atacante se apresente como um usuário legítimo sem fornecer credenciais válidas, abrindo a primeira porta de entrada para o sistema corporativo. Uma vez explorada, essa falha serve como base para ataques mais complexos, tornando a segurança da plataforma altamente crítica.
CVE-2025-4428: a injeção de código
Após aproveitar o desvio de autenticação, os atacantes podem explorar a CVE-2025-4428, uma vulnerabilidade de injeção de código. Por meio dela, é possível executar comandos arbitrários no servidor comprometido, instalando malware, coletando dados sensíveis e modificando configurações críticas sem que o usuário final perceba. Essa vulnerabilidade amplia significativamente o impacto da primeira falha, transformando um simples desvio de autenticação em um acesso completo ao sistema.
Versões afetadas
De acordo com as informações da CISA e da Ivanti, as versões vulneráveis do EPMM incluem:
- Ivanti EPMM 12.1.x
- Ivanti EPMM 12.2.x
- Ivanti EPMM 12.3.x (até a atualização mais recente anterior ao patch de correção)
Empresas que utilizam essas versões devem considerar a atualização como prioridade máxima.
A anatomia do ataque: como o malware funciona
O ataque identificado pelo CISA envolve um malware altamente segmentado, capaz de evadir detecções convencionais e comprometer servidores críticos.
O vetor de ataque inicial
Os atacantes exploram o endpoint /mifs/rs/api/v2/ do Ivanti EPMM, utilizando solicitações HTTP GET manipuladas. Esse vetor permite que scripts maliciosos sejam injetados no servidor, iniciando a execução do código sem autenticação legítima.
Dois kits de malware em ação
A agência analisou dois conjuntos distintos de malware utilizados no ataque:
- Kit principal: composto por arquivos como web-install.jar e ReflectUtil.class, responsáveis por estabelecer persistência e carregar os módulos maliciosos.
- Ouvintes maliciosos: componentes que monitoram continuamente o servidor e aguardam comandos do invasor, permitindo controle remoto contínuo e extração de dados.
Técnica de entrega segmentada
O malware é enviado em blocos codificados em Base64, uma técnica que ajuda a contornar sistemas de detecção tradicionais. Cada bloco é reconstruído no servidor alvo, garantindo que o ataque seja discreto e difícil de rastrear. Essa segmentação torna a ameaça mais perigosa, especialmente para empresas que não possuem monitoramento detalhado de tráfego de rede.
Recomendações oficiais: o que fazer para se proteger
Diante da exploração ativa, a CISA e a Ivanti fornecem orientações claras para mitigar os riscos.
Ação imediata: atualização
A medida mais urgente é aplicar os patches de segurança liberados pela Ivanti. Essas atualizações corrigem as vulnerabilidades CVE-2025-4427 e CVE-2025-4428, eliminando as portas de entrada exploradas pelo malware. Organizações que não atualizarem rapidamente permanecem em risco elevado.
Detecção e resposta
A CISA recomenda:
- Isolar hosts suspeitos ou comprometidos.
- Utilizar Indicadores de Comprometimento (IOCs) fornecidos pela agência.
- Implementar regras YARA e SIGMA para identificar e bloquear a execução do malware.
- Monitorar logs de sistema e tráfego de rede em busca de atividades anômalas.
Prevenção: tratando o MDM como um ativo de alto valor
Dispositivos e servidores de MDM (Mobile Device Management) devem ser considerados ativos estratégicos. A agência sugere:
- Restrições de acesso adicionais.
- Monitoramento contínuo de atividades suspeitas.
- Revisão periódica de permissões e políticas de segurança.
- Treinamento das equipes de TI e segurança sobre práticas de mitigação.
Essa abordagem reduz o risco de exploração futura e fortalece a postura de segurança corporativa.
Conclusão: um alerta para a segurança da infraestrutura corporativa
A combinação das vulnerabilidades CVE-2025-4427 e CVE-2025-4428 no Ivanti EPMM representa uma ameaça significativa para servidores corporativos. O alerta da CISA reforça que ferramentas de gerenciamento de dispositivos móveis são alvos prioritários para atacantes sofisticados.
Não espere se tornar uma vítima. Verifique imediatamente se sua organização utiliza uma das versões afetadas do Ivanti EPMM e aplique as correções recomendadas. Compartilhe este alerta com sua equipe de TI e segurança.
