Sårbarheter i Ivanti EPMM

Ivanti har publicerat säkerhetsuppdateringar för sårbarheter i Ivanti Endpoint Manager Mobile (EPMM), tidigare MobileIron. Enligt Ivanti så utnyttjas dessa sårbarheter aktivt, i begränsad omfattning. [1]

Sårbarheterna (CVE-2025-4427 och CVE-2025-4428) har fått CVSS-klassning 7,5 respektive 8,8 på den tiogradiga skalan.

Uppdatering 2025-05-14

Artikeln har uppdaterats med CVE-nummer för sårbarheterna, vilka inte var tillgängliga vid publiceringen den 13 maj, samt en direktlänk till säkerhetsråden.

Uppdatering 2025-05-28

Artikeln har uppdaterats med information om CVSS-klassning samt mer detaljer kring vilka versioner som är sårbara.

Uppdatering 2025-06-03

CERT-SE:s samlade bild är att det sker utbredda försök att utnyttja sårbarheterna. CERT-SE vill därför återigen trycka på att uppdatera snarast möjligt. Då det finns indikationer på att sårbarheterna exploaterades innan den blev offentliggjord bör även patchade system därför undersökas efter tecken på intrång.

Se vidare tillgängliga källor för ytterligare teknisk information kring angreppssätt och IOC:er. [4], [5], [6]

Påverkade produkter

Ivanti Endpoint Manager (version 11.12.0.4 och tidigare, version 12.3.0.1 och tidigare, version 12.4.0.1 och tidigare, samt version 12.5.0.0 och tidigare)

Rekommendationer

CERT-SE rekommenderar att omedelbart uppdatera sårbara produkter enligt tillverkarens rekommendationer och att undersöka system efter indikationer på intrång.

Källor

[1] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM

[2] https://nvd.nist.gov/vuln/detail/cve-2025-4427

[3] https://nvd.nist.gov/vuln/detail/cve-2025-4428

[4] https://www.wiz.io/blog/ivanti-epmm-rce-vulnerability-chain-cve-2025-4427-cve-2025-4428

[5] https://labs.watchtowr.com/expression-payloads-meet-mayhem-cve-2025-4427-and-cve-2025-4428/

[6] https://projectdiscovery.io/blog/ivanti-remote-code-execution