2025年9月19日Ravie Lakshmananデータ漏洩 / 脆弱性
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、Ivanti Endpoint Manager Mobile(EPMM)のセキュリティ脆弱性が悪用された後、匿名の組織のネットワークで発見された2種類のマルウェアの詳細を公開しました。
「それぞれのセットには、侵害されたサーバー上でサイバー脅威アクターが任意のコードを実行できるようにする悪意のあるリスナーのローダーが含まれています」とCISAは警告で述べています。
攻撃で悪用された脆弱性には、CVE-2025-4427およびCVE-2025-4428が含まれており、いずれも2025年5月にIvantiによって対応される前にゼロデイとして悪用されていました。
CVE-2025-4427は攻撃者が認証を回避して保護されたリソースにアクセスできる認証バイパスの問題であり、CVE-2025-4428はリモートコード実行を可能にします。その結果、これら2つの脆弱性を組み合わせることで、認証なしに脆弱なデバイス上で任意のコードを実行することができます。
CISAによると、脅威アクターは2025年5月15日ごろ、概念実証(PoC)エクスプロイトが公開された後、これら2つの脆弱性を組み合わせてEPMMを実行しているサーバーへのアクセスを獲得しました。
これにより攻撃者は、システム情報の収集、悪意のあるファイルのダウンロード、ルートディレクトリの一覧表示、ネットワークのマッピング、ヒープダンプを作成するスクリプトの実行、Lightweight Directory Access Protocol(LDAP)認証情報のダンプなどのコマンドを実行できたと、同庁は付け加えています。
さらに分析した結果、サイバー脅威アクターは「/tmp」ディレクトリに2種類の悪意のあるファイル群を設置しており、それぞれが侵害されたサーバー上で任意のコードを注入・実行することで永続化を実現していました:
- セット1 – web-install.jar(別名ローダー1)、ReflectUtil.class、SecurityHandlerWanListener.class
- セット2 – web-install.jar(別名ローダー2)、WebAndroidAppInstaller.class
具体的には、両方のセットにローダーが含まれており、悪意のあるコンパイル済みJavaクラスリスナーを起動し、特定のHTTPリクエストを傍受してペイロードをデコード・復号し、後続の実行を行います。
「ReflectUtil.classはJavaオブジェクトを操作し、Apache Tomcat上で悪意のあるリスナーSecurityHandlerWanListenerを注入・管理します」とCISAは述べています。「[SecurityHandlerWanListener.class]は特定のHTTPリクエストを傍受し、ペイロードをデコード・復号して動的に新しいクラスを作成・実行する悪意のあるリスナーです。」
一方、WebAndroidAppInstaller.classは、リクエストからハードコードされたキーを使ってパスワードパラメータを取得・復号し、その内容を使って新しいクラスを定義・実装します。新しいクラスの実行結果は同じハードコードキーで暗号化され、暗号化された出力を含むレスポンスが生成されます。
最終的に、これにより攻撃者はサーバー上で任意のコードを注入・実行できるようになり、さらなる活動や永続化、HTTPリクエストの傍受・処理によるデータの持ち出しが可能となります。
これらの攻撃から身を守るために、組織はインスタンスを最新バージョンにアップデートし、不審な活動の兆候を監視し、モバイルデバイス管理(MDM)システムへの不正アクセスを防ぐための必要な制限を実施することが推奨されています。
翻訳元: https://thehackernews.com/2025/09/cisa-warns-of-two-malware-strains.html