La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) publicó el jueves detalles de dos conjuntos de malware que fueron descubiertos en la red de una ordenamiento no identificada posteriormente de la explotación de fallas de seguridad en Ivanti Endpoint Manager Mobile (EPMM).
«Cada conjunto contiene cargadores para oyentes maliciosos que permiten a los actores de amenaza cibernética ejecutar código injustificado en el servidor comprometido», dijo CISA en una alerta.
Las vulnerabilidades que fueron explotadas en el ataque incluyen CVE-2025-4427 y CVE-2025-4428, los cuales han sido abusados como días de cero antaño de que Ivanti aborde los que se dirigen en mayo de 2025.
Mientras que CVE-2025-4427 se refiere a un derivación de la autenticación que permite a los atacantes ceder a los capital protegidos, CVE-2025-4428 permite la ejecución del código remoto. Como resultado, los dos fallas podrían estar encadenados para ejecutar código injustificado en un dispositivo débil sin autenticación.
Según CISA, los actores de amenaza obtuvieron golpe al servidor que ejecuta EPMM al peinar las dos vulnerabilidades más o menos del 15 de mayo de 2025, luego de la publicación de una explotación de prueba de concepto (POC).
Esto permitió a los atacantes ejecutar comandos que permitieron resumir información del sistema, descargar archivos maliciosos, enumerar el directorio root, asignar la red, ejecutar scripts para crear un montón y volcar credenciales de protocolo de golpe de directorio versátil (LDAP), agregó la agencia.
Un examen posterior determinó que los actores de amenaza cibernética arrojaron dos conjuntos de archivos maliciosos al directorio «/TMP», cada uno de los cuales permitió la persistencia inyectando y ejecutando código injustificado en el servidor comprometido:
- Set 1 – Web-Install.jar (además conocido como Loader 1), ReflectUtil.class y SecurityHandlerwanListener.class
- Establecer 2 – Web-Install.jar (además conocido como Loader 2) y WeBandroroidAppinstaller.class
Específicamente, los dos conjuntos contienen un cargador que inicia un asistente de clase Java compilado que intercepta solicitudes HTTP específicas y los procesa para decodificar y descifrar las cargas bártulos para la ejecución posterior.
«Reflectutil.Class manipula los objetos de Java para inyectar y llevar la batuta el asistente bellaco SecurityHandlerwanlistener en Apache Tomcat», dijo Cisa. «(SecurityHandlerWanListener.class) es un asistente bellaco que intercepta solicitudes HTTP específicas y procesa para decodificar y descifrar las cargas bártulos, que crean y ejecutan dinámicamente una nueva clase».
WeBandroroidAppinstaller.class, por otro flanco, funciona de modo diferente al recuperar y descifrar un parámetro de contraseña de la solicitud utilizando una secreto codificada, cuyo contenido se utilizan para aclarar e implementar una nueva clase. El resultado de la ejecución de la nueva clase se encripta utilizando la misma secreto codificada y genera una respuesta con la salida cifrada.
El resultado final es que permite a los atacantes inyectar y ejecutar código injustificado en el servidor, permitiendo la actividad de seguimiento y la persistencia, así como los datos exfiltrados al interceptar y procesar las solicitudes HTTP.
Para mantenerse protegidos contra estos ataques, se aconseja a las organizaciones que actualicen sus instancias a la última interpretación, controlen los signos de actividades sospechosas e implementen las restricciones necesarias para evitar el golpe no calificado a los sistemas de trámite de dispositivos móviles (MDM).
