Allarme critico per Ivanti EPMM: sfruttamento attivo delle vulnerabilità CVE-2025-4427 e CVE-2025-4428
È in corso una campagna di attacchi attivi che sfruttano due vulnerabilità critiche (CVE-2025-4427 e CVE-2025-4428) nel software Ivanti Endpoint Manager Mobile (EPMM), soluzione utilizzata da aziende e enti pubblici per la gestione centralizzata di dispositivi mobili e contenuti sensibili. La falla più grave permette a utenti non autenticati di:
-
Bypassare i controlli di sicurezza tramite CVE-2025-4427 (CVSS 5.3)
-
Eseguire codice arbitrario sfruttando CVE-2025-4428 (CVSS 7.2) se combinata.
L’attacco, già osservato in reti reali, sfrutta un errore nell’ordine delle operazioni di validazione delle richieste API: i controlli di autorizzazione Spring Security vengono applicati dopo la validazione degli input, consentendo l’iniezione di comandi tramite espressioni EL (Expression Language). Ciò permette di caricare payload malevoli anche senza credenziali, compromettendo interi ambienti EPMM on-premise.
Settori a rischio includono sanità, amministrazioni pubbliche e aziende con dispositivi mobili gestiti tramite EPMM. Il pericolo è accentuato dalla disponibilità pubblica di proof-of-concept e dall’integrazione della catena di exploit nello strumento watchTowr per test di penetrazione.
Ivanti ha rilasciato patch per le versioni 11.12.0.5, 12.3.0.2, 12.4.0.2 e 12.5.0.1, ma i sistemi non aggiornati rimangono esposti a:
-
Installazione di ransomware
-
Furto di credenziali e dati sensibili
-
Utilizzo dei server compromessi come ponte per attacchi laterali
Si raccomanda di applicare immediatamente gli aggiornamenti, verificare i log per richieste sospette all’endpoint /mifs/admin/rest/api/v2/featureusage
e isolare temporaneamente le istanze EPMM dalla rete internet se non è possibile aggiornarle subito.
Per i clienti cloud, il rischio è mitigato da controlli centralizzati del vendor.