Pinewood Security Bulletin – Ivanti EPMM Flaws Exploited in Remote Code Execution Attacks

Beschrijving

Er bevinden zich twee kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM), een oplossing voor mobiel apparaatbeheer (voorheen MobileIron Core). Het betreft de volgende kwetsbaarheden:

• CVE-2025-4427: door een kwetsbaarheid in de API-component van EPMM kan een ongeauthenticeerde, externe aanvaller toegang krijgen tot API-endpoints die normaal alleen beschikbaar zijn voor geauthenticeerde gebruikers.
• CVE-2025-4428: een geauthenticeerde aanvaller kan via deze kwetsbaarheid willekeurige code uitvoeren op een kwetsbaar systeem.

Door deze kwetsbaarheden te combineren, kan een aanvaller zonder enige vorm van authenticatie willekeurige code uitvoeren op een kwetsbare EPMM-installatie. De kwetsbaarheden zijn gerelateerd aan open-source bibliotheken waarvan EPMM gebruikmaakt.

De kwetsbaarheden worden momenteel actief uitgebuit in het wild, zij het in beperkte mate. Ivanti heeft bevestigd dat er gerichte aanvallen plaatsvinden waarbij deze kwetsbaarheden worden gecombineerd. Er is geen publiek beschikbare proof-of-concept op het moment van schrijven. Organisaties die API-toegang beperken via Portal ACL’s of een externe Web Application Firewall (WAF) lopen minder risico.

Kwetsbare versies

De kwetsbaarheden bevinden zich in onderstaande versies van Ivanti Endpoint Manager Mobile (EPMM):

• EPMM versie 11.12.0.4 en eerder
• EPMM versie 12.3.0.1 en eerder
• EPMM versie 12.4.0.1 en eerder
• EPMM versie 12.5.0.0 en eerder

Oplossingen en tijdelijke mitigaties

Ivanti heeft de kwetsbaarheden verholpen via onderstaande patches en nieuwe versies:

• EPMM versie 11.12.0.5
• EPMM versie 12.3.0.2
• EPMM versie 12.4.0.2
• EPMM versie 12.5.0.1

Ivanti adviseert organisaties die de patch nog niet kunnen installeren om de toegang tot de API te beperken via Portal ACL’s of een externe Web Application Firewall (WAF). Dit verkleint de kans op succesvolle uitbuiting van de kwetsbaarheden.

Meer informatie

• https://www.ivanti.com/blog/epmm-security-update
• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Two vulnerabilities have been identified in Ivanti Endpoint Manager Mobile (EPMM), a mobile device management solution (formerly MobileIron Core). These vulnerabilities are:

• CVE-2025-4427: due to a flaw in the API component of EPMM, an unauthenticated, remote attacker can gain access to API endpoints that are normally only available to authenticated users.
• CVE-2025-4428: an authenticated attacker can exploit this vulnerability to execute arbitrary code on a vulnerable system.

By chaining these vulnerabilities, an attacker can execute arbitrary code on a vulnerable EPMM installation without any form of authentication. The vulnerabilities are related to open-source libraries used by EPMM.

The vulnerabilities are currently being actively exploited in the wild, although on a limited scale. Ivanti has confirmed that targeted attacks are taking place in which these vulnerabilities are combined. At the time of writing, no public proof-of-concept is available. Organizations that restrict API access via Portal ACLs or an external Web Application Firewall (WAF) are at reduced risk.

Vulnerable versions

The vulnerabilities are present in the following versions of Ivanti Endpoint Manager Mobile (EPMM):

• EPMM version 11.12.0.4 and earlier
• EPMM version 12.3.0.1 and earlier
• EPMM version 12.4.0.1 and earlier
• EPMM version 12.5.0.0 and earlier

Solutions and workarounds

Ivanti has addressed the vulnerabilities through the following patches and new versions:

• EPMM version 11.12.0.5
• EPMM version 12.3.0.2
• EPMM version 12.4.0.2
• EPMM version 12.5.0.1

Ivanti advises organizations that are unable to install the patch to restrict access to the API via Portal ACLs or an external Web Application Firewall (WAF). This reduces the likelihood of successful exploitation of the vulnerabilities.

More information

• https://www.ivanti.com/blog/epmm-security-update
• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.