随着数字化进程的加速,企业和机构对移动设备管理系统的依赖日益加深,安全隐患也日益凸显。近期,美国网络安全基础设施安全局(CISA)发布了一则重要安全警告,披露了针对Ivanti Endpoint Manager Mobile(简称EPMM)中存在的两个致命漏洞CVE-2025-4427和CVE-2025-4428的恶意软件攻击事件。此次事件不仅暴露了移动设备管理系统潜在的重大安全风险,也提醒全球企业必须加强对相关资产的监控和及时升级安全补丁。Ivanti EPMM作为主流移动终端管理工具,因其高效的设备管控和部署能力被广泛应用于企业的IT生态系统。然而,CISA公告指出,CVE-2025-4427及CVE-2025-4428这两个零日漏洞在2025年5月被发现之前,已经成为黑客恶意攻击链中的关键环节。CVE-2025-4427是一个身份验证绕过漏洞,攻击者可借助此漏洞绕过安全认证,从而访问受限资源。
与此同时,CVE-2025-4428则允许攻击者实现远程代码执行,危害远不止于传统数据泄露。这两个漏洞的组合使攻击者能够不经授权直接执行任意代码,大幅度提升了攻击的隐蔽性和破坏力。此次攻击事件中,攻击者利用在五月中旬公开的漏洞利用代码,成功突破目标组织的服务器防御,主动获取系统信息和敏感数据,包括LDAP凭据等关键认证信息。恶意代码随后被部署到服务器的临时目录,采取巧妙的Java类加载器设计,实现对Apache Tomcat服务器的恶意监听。具体而言,两套恶意文件被注入到系统中。第一套包括web-install.jar、ReflectUtil.class和SecurityHandlerWanListener.class,其主要功能为在服务器内注入恶意监听器,能监控并响应特定HTTP请求,从中解析解密载荷并动态执行。
ReflectUtil.class通过操作Java反射机制管理恶意监听组件,而SecurityHandlerWanListener.class承担拦截HTTP请求、解码解密以及动态生成执行代码的角色。另一套恶意文件以web-install.jar和WebAndroidAppInstaller.class为核心,后者通过硬编码密钥解析请求参数中的密码信息,利用解析结果定义新Java类,执行后将输出加密返回。这种设计不仅增加了攻击的隐蔽性,还支持持续的远程控制和代码执行。攻击者利用此技术手段,可实现对被攻陷服务器的长时间隐蔽控制,执行更多恶意操作如数据窃取、网络映射及系统配置更改。此次事件强调了移动设备管理系统在企业网络安全中的薄弱环节。作为高度连接的关键基础设施,EPMM系统一旦被攻破,可能导致整个平台设备暴露于攻击风险之中,进而威胁业务连续性和数据完整性。
CISA也因此提醒组织,务必尽快升级至Ivanti发布的最新版本,修补漏洞。同时,应增设多层防御措施,强化对MDM系统访问权限的限制,并持续监控异常网络活动及日志,以便及早发现潜在攻击。随着黑客技术的不断升级,零日漏洞的全球愈加频繁爆发,对安全研究人员和运营者提出更高要求。此次Ivanti EPMM漏洞事件,也揭示了在移动管理及云服务融合背景下,传统安全架构的不足。防护应不仅依赖单一补丁修复,更应结合行为分析、入侵检测和响应机制,构建动态防御体系。此外,企业需培养安全意识,加强人员培训和应急演练,确保在安全事件发生时能迅速响应,减少潜在损失。
回顾此次事件,从漏洞曝露到攻击利用仅数天时间,这种高速的攻击节奏表明安全研究与攻防博弈的紧张局面。业界需共同推动信息共享与合作,加速威胁情报落地,形成联动防御网络。综合分析,CVE-2025-4427和CVE-2025-4428所涉及的身份验证绕过和远程代码执行漏洞,乃当前移动管理系统安全领域的典型代表。这一案例为全球企事业单位敲响警钟,强化软件供应链安全管理,积极防范零日威胁,是维护网络空间安全的必由之路。未来,伴随着技术的不断演进和新型攻击手法的涌现,企业必须建立全方位、多层级的安全防护体系,持续优化安全策略和应对能力,保障数字资产和业务环境的稳健安全发展。 。
