La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente pubblicato un allarme riguardante la scoperta di due insiemi di malware all'interno della rete di una organizzazione non identificata. Questi malware sono stati individuati a seguito dello sfruttamento di vulnerabilità critiche presenti in Ivanti Endpoint Manager Mobile (EPMM), note come CVE-2025-4427 e CVE-2025-4428. Entrambe queste vulnerabilità sono state sfruttate come zero-day, ovvero prima che Ivanti rilasciasse le relative patch nel maggio 2025.

Descrizione delle vulnerabilità

La prima vulnerabilità, CVE-2025-4427, permette l'aggiramento dell'autenticazione, consentendo agli attaccanti di accedere a risorse protette senza credenziali valide. La seconda, CVE-2025-4428, consente invece l'esecuzione di codice remoto, che, se combinata con la precedente, permette di eseguire comandi arbitrari su dispositivi vulnerabili senza autenticazione. Gli attaccanti hanno approfittato di queste falle dopo la pubblicazione di un proof-of-concept, ottenendo così accesso al server e la possibilità di eseguire diverse azioni malevole, tra cui la raccolta di informazioni di sistema, il download di file dannosi, la mappatura della rete e la compromissione delle credenziali LDAP.

Dettagli tecnici dei malware individuati

L’analisi condotta da CISA ha evidenziato che i criminali informatici hanno depositato due insiemi di file dannosi nella directory "/tmp". Il primo set comprende web-install.jar (chiamato anche Loader 1), ReflectUtil.class e SecurityHandlerWanListener.class. Il secondo include web-install.jar (Loader 2) e WebAndroidAppInstaller.class. Entrambi i set contengono un loader che avvia una classe Java compilata in grado di intercettare specifiche richieste HTTP, decodificare e decriptare i payload per eseguire ulteriori attività malevole.

ReflectUtil.class è progettato per manipolare oggetti Java e gestire il listener SecurityHandlerWanListener nel server Apache Tomcat. Questo listener intercetta determinate richieste HTTP e, dopo aver decodificato e decriptato i payload, crea ed esegue dinamicamente una nuova classe Java. WebAndroidAppInstaller.class invece decripta una password proveniente da una richiesta HTTP utilizzando una chiave hard-coded, utilizza queste informazioni per definire e implementare una nuova classe e restituisce la risposta cifrata con la stessa chiave.

Raccomandazioni di sicurezza

Il risultato finale è che gli attaccanti riescono a mantenere la persistenza sulla macchina compromessa, eseguire codice arbitrario e facilitare l’esfiltrazione di dati tramite l’intercettazione del traffico HTTP. CISA raccomanda fortemente di aggiornare Ivanti EPMM all’ultima versione disponibile, monitorare costantemente la rete per attività sospette e rafforzare le restrizioni di accesso ai sistemi di gestione dei dispositivi mobili (MDM) per prevenire futuri accessi non autorizzati.