CVE-2025-4427

CISA (U.S. Cybersecurity and Infrastructure Security Agency) publie le 18 septembre 2025 un Malware Analysis Report TLP:CLEAR (AR25‑261A) sur des « listeners » malveillants déployés sur des serveurs Ivanti Endpoint Manager Mobile (EPMM) compromis via les vulnérabilités CVE‑2025‑4427 et CVE‑2025‑4428, corrigées par Ivanti le 13 mai 2025 et ajoutées au KEV le 19 mai 2025. — Contexte et portée Produits affectés : Ivanti EPMM versions 11.12.0.4 et antérieures, 12.3.0.1 et antérieures, 12.4.0.1 et antérieures, 12.5.0.0 et antérieures. Mode opératoire initial : exploitation en chaîne des failles via l’endpoint /mifs/rs/api/v2/ et le paramètre ?format= pour exécuter des commandes à distance, collecter des infos système, télécharger des fichiers, lister /, cartographier le réseau, créer un heapdump et extraire des identifiants LDAP. — Fonctionnement du malware 🐛 ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2024-7344 [CVSS None ⚪] [VLAI High 🟧] Produit : Radix SmartRecovery Score CVSS : None ⚪ EPSS : 0.00082 🟩 VLAI : High 🟧 Poids social (Fediverse) : 821.0 Description : L’application UEFI Howyar “Reloader” (32 bits et 64 bits) est vulnérable à l’exécution de logiciels non signés dans un chemin codé en dur. Date de publication officielle : 14 janvier 2025 à 13h29 Posts Fediverse (9 trouvés) 🗨️ Virus Bulletin – n/d ESET Research introduces HybridPetya, a Petya/NotPetya copycat discovered on VirusTotal in Feb 2025. It encrypts the NTFS MFT and can compromise UEFI systems, weaponizing CVE-2024-7344 to bypass Secure Boot on outdated machines. www.welivesecurity.com/en/eset-rese… ...

Selon Darktrace (billet de blog), des vulnérabilités d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitées dans plusieurs environnements clients par l’acteur lié à la Chine UNC5221. L’enquête met en évidence une chaîne d’attaque structurée combinant validation d’exploit, livraison de charge utile et récupération de commandes. • Points clés: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution à UNC5221 (China‑nexus), déploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggère des activités coordonnées. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4427 Produit : Ivanti Endpoint Manager Mobile Score CVSS : 5.3 (MEDIUM) Poids social : 936.5 (posts: 16, utilisateurs: 14) Description : “Une faille d’authentification dans le composant API de Ivanti Endpoint Manager Mobile 12.5.0.0 et versions antérieures permet aux attaquants d’accéder à des ressources protégées sans les identifiants appropriés via l’API.” Date de publication : 2025-05-13T15:45:35Z Posts Fediverse (16 trouvés) 🗨️ cR0w :cascadia: (infosec.exchange) – 2025-05-13T15:59:30.273000Z @cR0w :cascadia: sur infosec.exchange 🕒 2025-05-13T15:59:30.273000Z Ivanti with one this morning too.https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-on-premises-only-CVE-2025-22462?language=en_USsev:CRIT 9.8 - AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/RL:O/MPR:HAn authentication bypass in Ivanti Neurons for ITSM (on-prem o… ...