دو نقص امنیتی اخیراً وصله شده که نرمافزار Ivanti Endpoint Manager Mobile (EPMM) را تحت تأثیر قرار میدهند، برای هدف قرار دادن طیف وسیعی از بخشها در سراسر اروپا، آمریکای شمالی و منطقه آسیا و اقیانوسیه توسط عامل تهدید چینی اکسپلویت میشوند.
این آسیبپذیریها با شناسههای CVE-2025-4427 (امتیاز CVSS: 5.3) و CVE-2025-4428 (امتیاز CVSS: 7.2)، میتوانند برای اجرای کد دلخواه روی یک دستگاه آسیبپذیر بدون نیاز به احراز هویت، زنجیر شوند. طبق گزارشی از EclecticIQ، زنجیره آسیبپذیری توسط گروه جاسوسی سایبری چینی موسوم به UNC5221 که به دلیل هدف قرار دادن تجهیزات edge حداقل از سال 2023 شناخته شده، تحت اکسپلویت قرار گرفته است. این گروه هکری اخیراً به تلاشهای اکسپلویت برای هدف قرار دادن نمونههای SAP NetWeaver مستعد به آسیبپذیری CVE-2025-31324 نسبت داده شده است.
با توجه به نقش EPMM در مدیریت و انتقال پیکربندیها به دستگاههای تلفن همراه سازمانی، اکسپلویت موفقیتآمیز میتواند به نفوذگران اجازه دهد تا از راه دور به هزاران دستگاه مدیریت شده در یک سازمان دسترسی یافته، آنها را دستکاری کنند یا به خطر بیندازند. این حمله شامل هدف قرار دادن نقطه پایانی /mifs/rs/api/v2/ برای به دست آوردن reverse shell تعاملی و اجرای از راه دور دستورات دلخواه بر روی استقرارهای EPMM ایوانتی است. سپس لودر شناختهشده KrustyLoader مبتنی بر Rust منسوب به UNC5221، که امکان تحویل پیلودهای اضافی مانند Sliver را فراهم میکند، مستقر میشود.
https://thehackernews.com/2025/05/chinese-hackers-exploit-ivanti-epmm.html
https://www.bleepingcomputer.com/news/security/ivanti-epmm-flaw-exploited-by-chinese-hackers-to-breach-govt-agencies/
