企业移动管理(EMM)平台作为连接企业内网与移动设备的枢纽,历来是高级持续性威胁(APT)的重点关照对象。Ivanti Endpoint Manager Mobile(EPMM)近期爆发的 CVE-2025-4427 与 CVE-2025-4428 漏洞链,展示了攻击者如何通过认证绕过配合表达式语言(EL)注入实现未授权远程代码执行,并在系统中植入具备休眠特性的后门监听器,实现长期、隐蔽的权限维持。
漏洞利用链与初始入侵
攻击者首先利用 CVE-2025-4427(CVSS 7.5)绕过认证,该漏洞允许未授权用户向特定 API 端点发送构造请求,使系统将其误判为合法登录会话。随后,通过 CVE-2025-4428(CVSS 8.8)的 EL 表达式注入,在/mifs/rs/api/v2/端点执行任意代码。这一组合将本应锁定的管理中枢转化为开放入口,攻击者得以在暴露于公网的 EPMM 服务器上部署初始载荷。
实战中,攻击者利用该链向服务器写入名为web-install.jar的加载器文件,存放于/tmp目录。该 JAR 文件通过伪装成org.apache.http或com.mobileiron.service等合法 Tomcat 类包,降低被运维人员发现的风险。
休眠后门的加载与持久化机制
CISA 分析的恶意软件样本揭示了两套技术路线,均遵循 "加载器 + 恶意监听器" 的设计范式。第一套方案以ReflectUtil.class为核心控制器,通过反射编程绕过 JDK 模块限制,将SecurityHandlerWanListener.class注入 Tomcat 的请求处理管道。该监听器并非持续活跃,而是处于休眠状态,仅在检测到特定 HTTP 请求条件 —— 包括唯一的通行字符串(pass string)和特定 Referer 头 —— 时才会激活。这种条件触发机制使后门能够在绝大多数时间内保持静默,规避基于流量频率的异常检测。
第二套方案则更为精简,通过WebAndroidAppInstaller.class监听 Content-Type 为application/x-www-form-urlencoded的请求,从请求体中提取名为password的参数。该参数经 Base64 解码后,使用硬编码 AES 密钥3c6e0b8a9c15224a解密,最终加载并内存执行新生成的 Java 类。输出数据同样经 AES 加密和 Base64 编码后返回,形成双向加密通信通道。
持久化方面,后门利用 Tomcat 的 Valve 机制将自身嵌入请求处理链。由于监听器以内存字节码形式存在,即使管理员删除磁盘上的 JAR 文件,ReflectUtil仍可通过解码内置的 Base64 字符串、解压缩并反射加载的方式重建监听器。这意味着常规的文件完整性监控(FIM)无法根除威胁,服务重启后后门仍可自我恢复。
零信任架构下的隐蔽性挑战
零信任架构的核心假设是 "永不信任,始终验证",依赖设备身份、用户行为、流量模式等多维度信号进行动态授权。然而,Ivanti EPMM 休眠后门的设计恰好针对这些检测维度形成绕过。
首先,后门完全驻留于 Java 虚拟机内存,不落地磁盘,传统的端点检测与响应(EDR)和杀毒软件基于文件签名的扫描机制难以发现。其次,恶意流量伪装成正常的 API 请求,使用与合法管理操作相同的端口和协议,基于网络边界的流量分析很难区分 benign 与 malicious 请求。再者,由于后门复用 Ivanti EPMM 自身的 Tomcat 进程执行代码,进程指纹和内存特征与正常服务高度重合,行为分析引擎容易将其误判为系统正常活动。
在零信任环境中,EPMM 通常被赋予高权限以管理移动设备策略,这意味着一旦平台本身被攻破,攻击者可借助合法的设备管理通道向数千台移动设备分发恶意配置或应用,实现横向移动。后门休眠特性进一步降低了被行为分析模型标记的概率,使得威胁可能在环境中潜伏数月而不被发现。
可落地的检测参数与响应清单
针对此类高级威胁,防御方需调整检测策略,从依赖静态签名转向关注运行时异常和内存行为。
监控指标建议:
- 日志模式:监控 Apache 访问日志中针对
/mifs/c/(aft|app)store/fob/路径的 404 响应,以及/mifs/rs/api/v2/featureusage端点的异常 POST 请求,这些可能是漏洞利用初期的探测痕迹。 - 进程内存:使用 JVM 内存分析工具定期扫描 Tomcat 进程的类加载器,查找非标准路径加载的类或异常的
org.apache.catalina.Valve实现。 - 网络流量:关注包含高强度加密特征(如固定长度 Base64 载荷)的 HTTP 请求体,特别是非业务高峰期的管理 API 调用。
- 文件系统:监控
/tmp目录下短暂存在的 JAR 文件,以及/mi/tomcat/webapps/mifs/路径下的可疑 JSP 文件(如401.jsp、session.jsp或伪装成 CSS 文件的脚本)。
事件响应清单:
- 隔离与取证:立即将受影响的 EPMM 服务器从网络隔离,捕获内存镜像以提取恶意类字节码,避免直接重启导致内存证据丢失。
- 补丁与升级:升级至 12.5.0.1 或 12.8.0.0 以上版本,修复漏洞链。
- 密钥轮换:由于后门可能已窃取管理员凭据和设备证书,需全面轮换 EPMM 管理员密码、API 密钥及受管设备的 MDM 证书。
- 备份验证:从已知干净的备份恢复系统,而非直接清理受感染实例,确保不继承隐藏的持久化机制。
结论
Ivanti EPMM 休眠后门案例表明,针对关键基础设施的 APT 攻击正朝着更隐蔽、更持久化的方向发展。攻击者不再满足于简单的 Web Shell,而是深入应用容器内部,利用框架自身的扩展机制实现无文件、内存驻留的恶意代码执行。在零信任架构下,这种与合法服务深度耦合的威胁对传统检测体系构成严峻挑战。防御方必须建立覆盖内存、运行时行为和加密流量分析的多层次检测能力,同时缩短从漏洞披露到补丁部署的时间窗口,才能有效遏制此类高级威胁的蔓延。
资料来源:
- CISA Analysis Report AR25-261A: Malicious Listener for Ivanti Endpoint Mobile Management Systems
- Picus Security: Malicious Listeners in Ivanti EPMM: How CVE-2025-4427 and CVE-2025-4428 Created Backdoors