Bundesamt für Sicherheit in der Informationstechnik - Version 1.0: Ivanti EPMM - Zero-Day Schwachstellen werden aktiv ausgenutzt

Am 13. Mai 2025 veröffentlichte der Hersteller Ivanti ein Advisory zu aktiv ausgenutzten Zero-Day Schwachstellen in seiner Mobilgeräte-Management-Lösung Endpoint Manager Mobile (EPMM), ehemals bekannt unter dem Namen MobileIron. [IVAN25a] [IVAN25b] Ermöglicht wurden die Angriffe durch zwei neue Sicherheitslücken in Open-Source Bibliotheken, die in Ivantis EPMM Verwendung finden. Während die Herausgeber der Bibliotheken bislang jedoch keine CVE-Kennungen für die Verwundbarkeiten veröffentlicht haben, gibt Ivanti zum Sachverhalt nun folgende CVE-Nummern an: Die Schwachstelle mit der Kennung CVE-2025-4427 erlaubt Angreifern den Zugriff auf geschützte Ressourcen ohne Authentifizierung (CWE-288) und wurde nach CVSS v3.0 mit 5.3 ("mittel") bewertet. Die zweite Schwachstelle mit der Kennung CVE-2025-4428 ermöglicht es externen authentifizierten Angreifern, Code auf betroffenen Systemen auszuführen (CWE-94) und wurde nach CVSS v3.0 mit 7.2 ("hoch") bewertet. Durch die Kombination beider Schwachstellen sind Angreifer in der Lage, Ivanti EPMM Systeme zu kompromittieren, ungehindert auf die API zuzugreifen und aus der Ferne Code auf verwundbaren Systemen auszuführen. Der Hersteller gibt an, eine limitierte Anzahl an Angriffen beobachtet zu haben.