NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in Ivanti Endpoint Manager Mobile (EPMM, voormalig MobileIron)
Advisory ID     : NCSC-2025-0152
Versie          : 1.01
Kans            : high
CVE ID          : CVE-2025-4427, CVE-2025-4428
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Control of Generation of Code ('Code
                  Injection')
                  Authentication Bypass Using an Alternate Path or
                  Channel
Uitgiftedatum   : 20250516
Toepassing      : Ivanti Endpoint Manager Mobile
Versie(s)       :
Platform(s)     :

Update
   Onderzoekers hebben kort na de patch een Proof-of-Concept-code (PoC)
   gepubliceerd.

Beschrijving
   Ivanti heeft kwetsbaarheden verholpen in de Ivanti Endpoint Manager
   Mobile (EPMM, voorheen MobileIron). Alleen de On-prem versies van de
   EPMM zijn kwetsbaar.

   De kwetsbaarheden betreffen een authentication bypass en remote code
   execution die gezamenlijk misbruikt kunnen worden om op afstand code
   uit te voeren op Ivanti Endpoint Manager Mobile (EPMM). Middels deze
   kwetsbaarheden kan een kwaadwillende inloggen in de Ivanti Endpoint
   Manager Mobile (EPMM) en mogelijk toegang krijgen tot gevoelige
   gegevens. Het NCSC heeft uit betrouwbare bron vernomen dat reeds
   selectief misbruik van deze kwetsbaarheden heeft plaatsgevonden.
   Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd, waarmee
   de kwetsbaarheden kunnen worden aangetoond. De PoC code verhoogt het
   risico op misbruik na de patch.

Mogelijke oplossingen
   Ivanti heeft updates uitgebracht om de kwetsbaarheden in Ivanti
   Endpoint Manager Mobile (EPMM, voorheen MobileIron) versies te
   verhelpen. Ivanti geeft het advies voor gebruikers van de On-prem
   versie van de Endpoint Manager Mobile om te updaten naar de nieuwste
   versie. Zie de referentie voor meer informatie.
   De getroffen versies waarvoor updates beschikbaar zijn:
   < 11.12.0.4 updaten naar 11.12.0.5,
   < 12.3.0.1  updaten naar 12.3.0.2,
   < 12.4.0.1 updaten naar 12.4.0.2,
   < 12.5.0.0 updaten naar 12.5.0.1

   Referenties:
      Source - cveprojectv5
      https://www.cve.org/CVERecord?id=CVE-2025-4427

      Source raw - cveprojectv5
      https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2
      025/4xxx/CVE-2025-4427.json

      Source - cveprojectv5
      https://www.cve.org/CVERecord?id=CVE-2025-4428

      Source raw - cveprojectv5
      https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2
      025/4xxx/CVE-2025-4428.json

      Reference - ncscclear
      https://www.ivanti.com/blog/epmm-security-update

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=RYKP
-----END PGP SIGNATURE-----