This post is also available in: Português
A Ivanti, empresa conhecida por suas soluções de gerenciamento de dispositivos e segurança corporativa, enfrenta novos desafios com a descoberta de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), anteriormente conhecido como MobileIron Core. As falhas, catalogadas como CVE-2025-4427 e CVE-2025-4428, já estão sendo exploradas ativamente por agentes maliciosos e exigem atenção imediata por parte dos administradores de TI.
O que é o Ivanti Endpoint Manager Mobile (EPMM)
O Ivanti EPMM é uma plataforma de gerenciamento de mobilidade corporativa usada por organizações para aplicar políticas de segurança, controlar o acesso a redes corporativas e gerenciar dispositivos móveis. Seu papel é central na proteção de ambientes que utilizam dispositivos móveis como ponto de acesso à infraestrutura organizacional, especialmente em setores como governo, saúde e finanças.
CVE-2025-4427: Desvio de autenticação
Essa vulnerabilidade permite que um atacante contorne os mecanismos de autenticação do EPMM. Classificada com uma pontuação CVSS de 7.5 (alta), ela foi associada à CWE-288, que descreve falhas de bypass em autenticação.
Em termos práticos, isso significa que um invasor não autenticado pode obter acesso não autorizado à interface administrativa do sistema, assumindo privilégios que normalmente estariam restritos a usuários autorizados.
A exploração dessa falha pode ser feita remotamente e sem a necessidade de interação do usuário, tornando-a especialmente perigosa em ambientes expostos à internet. De acordo com alertas de segurança, há indícios concretos de que grupos de ameaça já estão explorando ativamente essa vulnerabilidade.
CVE-2025-4428: Injeção de código
A segunda vulnerabilidade é ainda mais crítica. Identificada com uma pontuação CVSS de 8.8, ela permite a execução remota de código (RCE) via uma falha de injeção associada à CWE-94. Isso significa que um invasor pode executar comandos arbitrários no sistema, com potencial para comprometer completamente o servidor que executa o EPMM.
O ataque pode ser orquestrado após o desvio de autenticação, ou seja, essas duas vulnerabilidades podem ser encadeadas. Primeiro o invasor contorna a autenticação (CVE-2025-4427), depois injeta código malicioso (CVE-2025-4428), o que dá a ele controle total do sistema afetado.
Relatórios indicam que um grupo de ameaça com vínculos na China já está explorando a CVE-2025-4428, o que reforça a gravidade do cenário.
Gravidade e impacto
Ambas as falhas têm alto potencial de impacto. A combinação de bypass de autenticação com execução remota de código cria uma superfície de ataque crítica para ambientes que dependem do EPMM. A inclusão dessas CVEs no catálogo de vulnerabilidades exploradas ativamente da CISA reforça o risco envolvido.
Sistemas comprometidos por essas vulnerabilidades podem sofrer exfiltração de dados, interrupções operacionais, instalação de backdoors e movimentação lateral dentro da rede corporativa. Além disso, o comprometimento de dispositivos móveis gerenciados pode representar um vetor para ataques mais amplos à infraestrutura organizacional.
Correções e recomendações
A Ivanti já disponibilizou atualizações de segurança que corrigem as falhas. É fundamental que todas as organizações que utilizam o EPMM apliquem os patches recomendados o quanto antes. Caso a atualização imediata não seja possível, recomenda-se a segmentação de rede, limitação de acesso à interface administrativa e monitoramento intensivo por atividades suspeitas.
Ainda que as falhas sejam técnicas, sua exploração pode ter consequências amplas para a segurança das organizações. Por isso, ações proativas são essenciais para mitigar riscos.
This post is also available in: Português
