Vulnerabilità critiche Ivanti EPMM CVE-2025-4427 e CVE-2025-4428 sotto attacco

La sicurezza informatica negli ambienti aziendali si trova ancora una volta sotto attacco con la scoperta di due vulnerabilità critiche che hanno colpito il sistema Ivanti Endpoint Manager Mobile (EPMM). Le vulnerabilità CVE-2025-4427 e CVE-2025-4428 rappresentano una minaccia senza precedenti per le organizzazioni che utilizzano questa piattaforma di gestione dei dispositivi mobili, poiché sono state sfruttate attivamente in attacchi zero-day prima ancora che fossero disponibili le patch correttive.

Analisi Tecnica delle Vulnerabilità CVE-2025-4427 e CVE-2025-4428

La CVE-2025-4427 rappresenta una falla critica nel sistema di autenticazione di Ivanti EPMM. Questa vulnerabilità consente a un attaccante remoto non autenticato di bypassare completamente i meccanismi di sicurezza e ottenere accesso diretto alle API protette del sistema. Il difetto risiede nei componenti open source utilizzati dalla piattaforma, rendendo particolarmente insidiosa questa tipologia di attacco.

La seconda vulnerabilità, CVE-2025-4428, è classificata come una falla di esecuzione remota di codice (RCE). Anche se questa vulnerabilità richiede privilegi di autenticazione per essere sfruttata singolarmente, diventa estremamente pericolosa quando combinata con CVE-2025-4427. Gli attaccanti possono eseguire codice arbitrario sul server EPMM, ottenendo controllo completo dell’infrastruttura.

Il Devastante Chain Attack

La pericolosità di queste vulnerabilità risiede nella loro capacità di essere concatenate in un attacco sequenziale. Un cybercriminale può sfruttare prima la CVE-2025-4427 per aggirare l’autenticazione, quindi utilizzare immediatamente la CVE-2025-4428 per eseguire codice remoto senza necessità di credenziali. Questo scenario permette:

• Compromissione completa dell’infrastruttura di gestione dispositivi mobili
• Installazione di backdoor persistenti
• Distribuzione di malware su tutti i dispositivi gestiti
• Accesso non autorizzato a dati aziendali sensibili

Evidenze degli Attacchi Zero-Day in Corso

Le organizzazioni di cybersecurity, incluso il CERT-EU, hanno confermato l’esistenza di attacchi zero-day attivi che sfruttano queste vulnerabilità. La disponibilità di proof-of-concept pubblici ha accelerato la diffusione degli exploit, rendendo ancora più urgente l’implementazione delle contromisure.

Diverse aziende hanno già riportato compromissioni dei loro sistemi EPMM, con conseguente installazione di malware persistente e backdoor che garantiscono agli attaccanti accesso continuativo alle reti aziendali. Questi incidenti hanno evidenziato come le vulnerabilità di bypass dell’autenticazione combinate con quelle di esecuzione remota di codice possano causare danni ingenti in tempi molto brevi.

Patch Ufficiali e Versioni Interessate

Ivanti ha risposto prontamente alla crisi rilasciando le patch correttive ufficiali il 13 maggio 2025. Le versioni interessate dalle vulnerabilità includono:

• Ivanti EPMM versione 12.5.0.0 e precedenti
• Tutte le installazioni che utilizzano i componenti open source vulnerabili
• Sistemi con configurazioni API esposte pubblicamente

L’aggiornamento immediato rappresenta la priorità assoluta per qualsiasi organizzazione che utilizzi Ivanti EPMM. Le patch affrontano sia il bypass dell’autenticazione che la vulnerabilità di esecuzione remota di codice, eliminando la possibilità di sfruttamento concatenato.

Strategie di Mitigazione e Raccomandazioni di Sicurezza

Oltre all’applicazione immediata delle patch, le organizzazioni devono implementare una strategia di difesa multi-livello per proteggere i propri sistemi EPMM:

Misure Immediate

• Applicazione tempestiva delle patch ufficiali Ivanti per tutte le installazioni EPMM
• Implementazione di controlli di accesso rigorosi tramite Portal ACLs e Web Application Firewall (WAF)
• Limitazione dell’esposizione delle API vulnerabili alla rete internet
• Monitoraggio intensivo dei log per identificare attività sospette sulle API

Misure di Sicurezza Avanzate

Per una protezione ottimale, è essenziale implementare:

• Soluzioni IDS/IPS configurate per rilevare pattern di attacco specifici
• Procedure di risposta agli incidenti dedicate alle compromissioni EPMM
• Test di sicurezza e penetration testing regolari
• Segmentazione della rete per limitare la propagazione laterale

Monitoraggio e Risposta agli Incidenti

Il monitoraggio proattivo rappresenta un elemento cruciale nella difesa contro questi attacchi. Le organizzazioni devono implementare sistemi di rilevamento che possano identificare:

• Tentativi di accesso non autorizzato alle API EPMM
• Attività anomale sui server di gestione
• Installazione di software non autorizzato
• Comunicazioni sospette verso server esterni

La collaborazione con le agenzie di cybersecurity come CISA è fondamentale per rimanere aggiornati sulle ultime minacce e tecniche di attacco. Le linee guida e gli alert ufficiali forniscono informazioni preziose per adattare le strategie difensive.

Le vulnerabilità CVE-2025-4427 e CVE-2025-4428 rappresentano un campanello d’allarme per tutte le organizzazioni che gestiscono dispositivi mobili aziendali. La combinazione letale di bypass dell’autenticazione ed esecuzione remota di codice crea un scenario di rischio elevatissimo che richiede azioni immediate e coordinate. Solo attraverso l’applicazione tempestiva delle patch, l’implementazione di misure di sicurezza robuste e un monitoraggio continuo sarà possibile mitigare efficacemente questa minaccia critica e proteggere l’infrastruttura aziendale da compromissioni devastanti.