Η Ivanti κυκλοφόρησε επίσημα επείγουσες ενημερώσεις ασφαλείας για τη λύση Endpoint Manager (EPM) για την αντιμετώπιση τεσσάρων διακριτών ελαττωμάτων ασφαλείας. Η τελευταία συμβουλευτική υπογραμμίζει μια κρίσιμη ευπάθεια και τρία ζητήματα υψηλής σοβαρότητας που θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελούν αυθαίρετο κώδικα, να γράφουν αρχεία στον διακομιστή ή να παρακάμπτουν περιορισμούς ασφαλείας.
Ενώ η εταιρεία επιβεβαίωσε ότι δεν γνωρίζει καμία ενεργή εκμετάλλευση αυτών των ελαττωμάτων στη φύση τη στιγμή της αποκάλυψης, οι διαχειριστές καλούνται να εφαρμόσουν αμέσως τις ενημερώσεις κώδικα για να αποτρέψουν πιθανές επιθέσεις.
Τα τρωτά σημεία επηρεάζουν τις εκδόσεις Ivanti Endpoint Manager 2024 SU4 και προγενέστερες. Για να διορθώσει αυτά τα ζητήματα, ο πωλητής κυκλοφόρησε την έκδοση 2024 SU4 SR1, η οποία είναι πλέον διαθέσιμη μέσω του Συστήματος Άδειας Χρήσης Ivanti (ILS).
Το πιο σοβαρό ζήτημα σε αυτήν την ενημερωμένη έκδοση παρακολουθείται ως CVE-2025-10573, μια ευπάθεια Αποθηκευμένης δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) με κρίσιμη βαθμολογία CVSS 9,6.
Αυτό το ελάττωμα υπάρχει σε εκδόσεις πριν από το 2024 SU4 SR1 και επιτρέπει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να εκτελέσει αυθαίρετη JavaScript εντός της περιόδου λειτουργίας ενός διαχειριστή.
Η επιτυχής εκμετάλλευση αυτής της ευπάθειας απαιτεί αλληλεπίδραση με τον χρήστη, αλλά ο πιθανός αντίκτυπος στη διοικητική εμπιστευτικότητα και ακεραιότητα είναι σημαντικός.
Παράλληλα με αυτό το κρίσιμο ελάττωμα, ο Ivanti αντιμετώπισε τρία τρωτά σημεία υψηλής σοβαρότητας. Το CVE-2025-13659 περιλαμβάνει ακατάλληλο έλεγχο των πόρων κώδικα που διαχειρίζονται δυναμικά, επιτρέποντας σε μη επιβεβαιωμένους εισβολείς να γράφουν αυθαίρετα αρχεία στον διακομιστή, οδηγώντας ενδεχομένως σε απομακρυσμένη εκτέλεση κώδικα.
Τα υπόλοιπα δύο ελαττώματα, CVE-2025-13661 και CVE-2025-13662, σχετίζονται με τη διέλευση διαδρομής και την ακατάλληλη επαλήθευση κρυπτογραφικής υπογραφής, αντίστοιχα. Και τα δύο απαιτούν αλληλεπίδραση με τον χρήστη, που περιλαμβάνει συγκεκριμένα την εισαγωγή μη αξιόπιστων αρχείων διαμόρφωσης.
| Αριθμός CVE | Περιγραφή | Αυστηρότητα | Βαθμολογία CVSS |
|---|---|---|---|
| CVE-2025-10573 | Αποθηκευμένο XSS που επιτρέπει σε απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας να εκτελούν αυθαίρετη JavaScript σε περιόδους λειτουργίας διαχειριστή. | Κρίσιμος | 9.6 |
| CVE-2025-13659 | Ακατάλληλος έλεγχος των πόρων κώδικα που επιτρέπει αυθαίρετη εγγραφή αρχείων και πιθανή RCE. | Ψηλά | 8.8 |
| CVE-2025-13662 | Λανθασμένη επαλήθευση κρυπτογραφικών υπογραφών στη διαχείριση ενημερώσεων κώδικα που επιτρέπει την αυθαίρετη εκτέλεση κώδικα. | Ψηλά | 7.8 |
| CVE-2025-13661 | Διέλευση διαδρομής που επιτρέπει στους επιτιθέμενους να γράφουν αρχεία εκτός προβλεπόμενων καταλόγων. | Ψηλά | 7.1 |
Μετριασμούς
Ο Ιβάντι έχει τόνισε ειδικούς μετριασμούς για περιβάλλοντα όπου μπορεί να καθυστερήσει η άμεση επιδιόρθωση. Όσον αφορά το κρίσιμο ελάττωμα XSS (CVE-2025-10573), η εταιρεία σημείωσε ότι το EPM δεν προορίζεται να είναι μια λύση που αντιμετωπίζει το διαδίκτυο.
Οι οργανισμοί που έχουν διασφαλίσει ότι η διεπαφή διαχείρισης τους δεν εκτίθεται στο δημόσιο διαδίκτυο μειώνουν σημαντικά τον κίνδυνο αυτής της ευπάθειας.
Η ανακάλυψη αυτών των τρωτών σημείων πιστώθηκε σε αρκετούς ερευνητές ασφαλείας που εργάζονταν μέσω υπεύθυνων καναλιών αποκάλυψης.
Ο Ivanti αναγνώρισε τη συμβολή του Ryan Emmons από το Rapid7 για τον εντοπισμό του κρίσιμου ελαττώματος XSS, του Piotr Bazydlo (@chudyPB) του watchTowr για την ευπάθεια σύνταξης αρχείων και των ερευνητών που συνεργάζονται με την Πρωτοβουλία Trend Zero Day για τα εναπομείναντα ζητήματα διέλευσης διαδρομής και επαλήθευσης υπογραφής.
Εφόσον δεν υπάρχουν επί του παρόντος γνωστοί δείκτες συμβιβασμού (IoC), η εφαρμογή της ενημέρωσης κώδικα που παρέχεται από τον προμηθευτή παραμένει η κύρια άμυνα.
