La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) publicó detalles sobre dos malware descubiertos en la red de organizaciones desconocidas después de la explotación de fallas de seguridad en Ivanti Endpoint Manager Mobile (EPMM).
«Cada conjunto incluye cargadores para oyentes maliciosos que permiten a los actores cibernéticos ejecutar código arbitrario en servidores comprometidos», dijo CISA en una advertencia.
Las vulnerabilidades explotadas en el ataque incluyen CVE-2025-4427 y CVE-2025-4428. Ambos fueron abusados como día cero antes de ser abordados por Ivanti en mayo de 2025.
CVE-2025-4427 se trata de evitar la autenticación que permite a los atacantes acceder a recursos protegidos, mientras que CVE-2025-4428 permite la ejecución de código remoto. Como resultado, se pueden encadenar dos fallas para ejecutar código arbitrario en dispositivos vulnerables sin autenticación.
Según la CISA, el actor de amenazas peinó dos vulnerabilidades alrededor del 15 de mayo de 2025, y accedió a un servidor que ejecuta EPMM después de la publicación de una explotación de prueba de concepto (POC).
Esto permitió al atacante recopilar información del sistema, descargar archivos maliciosos y ejecutar comandos que le permitieron ejecutar listas de directorios raíz, mapas de la red y scripts para crear HeapDump.
Un análisis posterior determinó que el actor cibernético había eliminado dos conjuntos de archivos maliciosos en el directorio «/TMP», cada uno permitiendo la persistencia inyectando y ejecutando código arbitrario en el servidor comprometido.
Set 1 -web -install.jar (también conocido como cargador 1), reflectutil.class y securityhandlerwanlistener.class set 2 -web -install.jar (también conocido como cargador 2) y webandroroidappinstaller.class.class
Específicamente, ambos conjuntos contienen cargadores que invocan oyentes de clase Java maliciosas que interceptan solicitudes HTTP específicas y los manejan para decodificar y decodificar la carga útil para la ejecución posterior.
«Reflectutil.Class manipula los objetos de Java para inyectar y administrar la seguridad de los oyentes maliciosos HandlerwanListener en Apache Tomcat», dice CISA. «(SecurityHandlerWanListener.class) Los oyentes maliciosos interceptan las solicitudes específicas de HTTP las manejarán para decodificar y decodificar cargas útiles que crean y ejecutan dinámicamente nuevas clases».
Por otro lado, WeBandroroidAppinstaller.Class funciona de manera diferente al usar claves codificadas para recuperar y descifrar los parámetros de contraseña de las solicitudes. Su contenido se usa para definir e implementar nuevas clases. La ejecución de la nueva clase luego da como resultado una respuesta encriptada utilizando la misma clave codificada y generada con la salida cifrada.
El resultado final es que un atacante puede inyectar y ejecutar código arbitrario en el servidor, eliminando los datos interceptando y procesando solicitudes HTTP, así como permitiendo la actividad y persistencia posteriores.
Para permanecer protegidos contra estos ataques, las organizaciones recomiendan actualizar instancias a la última versión, monitorear los signos de actividades sospechosas e implementar las restricciones necesarias para evitar el acceso no autorizado a los sistemas de gestión de dispositivos móviles (MDM).
Source link
