Security

CISA Ungkap Malware Kit dalam Serangan Ivanti EPMM

September 20, 2025
1 minute read

Cybersecurity and Infrastructure Security Agency (CISA) merilis analisis teknis terkait malware kits yang digunakan penyerang dalam mengeksploitasi kerentanan kritis pada Ivanti Endpoint Manager Mobile (EPMM).

Latar Belakang Kerentanan

Dua celah keamanan utama yang dieksploitasi adalah:

  • CVE-2025-4427Authentication bypass pada komponen API.
  • CVE-2025-4428Code injection yang memungkinkan eksekusi kode arbitrer.

Kerentanan ini memengaruhi versi 11.12.0.4, 12.3.0.1, 12.4.0.1, dan 12.5.0.0 (beserta rilis sebelumnya). Ivanti sudah merilis patch pada 13 Mei 2025, namun laporan intelijen menyebutkan bahwa kelompok China-nexus espionage telah mengeksploitasi celah ini sejak 15 Mei 2025, dengan pemahaman mendalam mengenai arsitektur internal EPMM.

Analisis Malware oleh CISA

CISA meneliti dua set malware (total lima file) yang dipasang pada sistem Ivanti EPMM on-premise melalui HTTP GET requests ke endpoint /mifs/rs/api/v2/ menggunakan parameter ?format= untuk menjalankan perintah berbahaya.

Set 1

  • web-install.jar (Loader 1)
  • ReflectUtil.class – memanipulasi objek Java untuk menyuntikkan listener berbahaya
  • SecurityHandlerWanListener.class – listener jahat untuk eksekusi kode, eksfiltrasi data, dan persistence

Set 2

  • web-install.jar (Loader 2)
  • WebAndroidAppInstaller.class – listener berbahaya dengan fungsi serupa (eksekusi kode, persistence, eksfiltrasi data)

Mekanisme Serangan

  • Malware dikirim melalui HTTP GET requests dalam potongan Base64-encoded chunks.
  • Listener berfungsi mencegat HTTP request tertentu untuk menjalankan payload tambahan dari penyerang.
  • Aktivitas awal: reconnaissance, pengambilan informasi sistem, pemetaan jaringan, mengunduh file berbahaya, dan mencuri kredensial LDAP.

Rekomendasi Mitigasi

CISA menekankan bahwa MDM (Mobile Device Management) seperti EPMM adalah High-Value Asset (HVA) sehingga perlu pengamanan ekstra. Langkah mitigasi:

  1. Segera patch Ivanti EPMM ke versi terbaru.
  2. Isolasi host terinfeksi dan lakukan investigasi forensik (termasuk pembuatan disk image penuh).
  3. Pantau aktivitas mencurigakan dengan menggunakan IoC, YARA rules, dan SIGMA rule yang telah disediakan oleh CISA.
  4. Batasi akses publik ke EPMM Admin Console dan perketat pemantauan.

Sumber: CISA

Tags
September 20, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button