Cybersecurity and Infrastructure Security Agency (CISA) merilis analisis teknis terkait malware kits yang digunakan penyerang dalam mengeksploitasi kerentanan kritis pada Ivanti Endpoint Manager Mobile (EPMM).
Latar Belakang Kerentanan
Dua celah keamanan utama yang dieksploitasi adalah:
- CVE-2025-4427 – Authentication bypass pada komponen API.
- CVE-2025-4428 – Code injection yang memungkinkan eksekusi kode arbitrer.
Kerentanan ini memengaruhi versi 11.12.0.4, 12.3.0.1, 12.4.0.1, dan 12.5.0.0 (beserta rilis sebelumnya). Ivanti sudah merilis patch pada 13 Mei 2025, namun laporan intelijen menyebutkan bahwa kelompok China-nexus espionage telah mengeksploitasi celah ini sejak 15 Mei 2025, dengan pemahaman mendalam mengenai arsitektur internal EPMM.
Analisis Malware oleh CISA
CISA meneliti dua set malware (total lima file) yang dipasang pada sistem Ivanti EPMM on-premise melalui HTTP GET requests ke endpoint /mifs/rs/api/v2/ menggunakan parameter ?format= untuk menjalankan perintah berbahaya.
Set 1
- web-install.jar (Loader 1)
- ReflectUtil.class – memanipulasi objek Java untuk menyuntikkan listener berbahaya
- SecurityHandlerWanListener.class – listener jahat untuk eksekusi kode, eksfiltrasi data, dan persistence
Set 2
- web-install.jar (Loader 2)
- WebAndroidAppInstaller.class – listener berbahaya dengan fungsi serupa (eksekusi kode, persistence, eksfiltrasi data)
Mekanisme Serangan
- Malware dikirim melalui HTTP GET requests dalam potongan Base64-encoded chunks.
- Listener berfungsi mencegat HTTP request tertentu untuk menjalankan payload tambahan dari penyerang.
- Aktivitas awal: reconnaissance, pengambilan informasi sistem, pemetaan jaringan, mengunduh file berbahaya, dan mencuri kredensial LDAP.
Rekomendasi Mitigasi
CISA menekankan bahwa MDM (Mobile Device Management) seperti EPMM adalah High-Value Asset (HVA) sehingga perlu pengamanan ekstra. Langkah mitigasi:
- Segera patch Ivanti EPMM ke versi terbaru.
- Isolasi host terinfeksi dan lakukan investigasi forensik (termasuk pembuatan disk image penuh).
- Pantau aktivitas mencurigakan dengan menggunakan IoC, YARA rules, dan SIGMA rule yang telah disediakan oleh CISA.
- Batasi akses publik ke EPMM Admin Console dan perketat pemantauan.
Sumber: CISA