В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярном программном обеспечении для управления конечными точками Ivanti Endpoint Manager (EPM). Присвоенный идентификатор BDU:2025-15631 соответствует международному идентификатору CVE-2025-10573. Уязвимость, связанная с недостаточной защитой от межсайтового скриптинга (Cross-Site Scripting, XSS), позволяет удаленному злоумышленнику выполнить произвольный код с правами администратора на целевой системе.
Детали уязвимости
Суть проблемы заключается в ошибке категории CWE-79, то есть в непринятии мер по защите структуры веб-страницы. Проще говоря, веб-интерфейс решения Ivanti EPM неправильно обрабатывает пользовательский ввод. Следовательно, атакующий может внедрить вредоносные JavaScript-сценарии. Если жертва, например, администратор, откроет специально сформированную злоумышленником страницу, скрипт выполнится в её браузере в контексте сессии приложения EPM. В результате, используя низкоуровневые привилегии, можно инициировать атаку, которая в итоге приведёт к полному контролю над сервером управления.
Угроза затрагивает версии Ivanti Endpoint Manager до обновления 2024 SU4 SR1. Оценка по метрикам CVSS подчеркивает исключительную опасность этой бреши. Базовая оценка CVSS 2.0 достигает максимального значения 10.0, а оценка по CVSS 3.1 составляет 9.6 баллов, что также соответствует критическому уровню. Высокие баллы обусловлены несколькими факторами. Во-первых, для эксплуатации не требуется аутентификация или специальные привилегии (PR:N). Во-вторых, атака может быть осуществлена удалённо через сеть (AV:N). В-третьих, успешная эксплуатация ведет к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Производитель уже подтвердил наличие уязвимости и выпустил исправление. Эксперты настоятельно рекомендуют всем организациям, использующим уязвимые версии Ivanti EPM, как можно скорее обновить программное обеспечение до актуальной версии 2024 SU4 SR1 или более поздней. Инструкции и подробности содержатся в официальном бюллетене безопасности компании. Тем временем, важно отметить, что в текущих геополитических условиях установка обновлений из иностранных источников требует взвешенной оценки всех сопутствующих рисков.
Если немедленное обновление невозможно, специалисты по кибербезопасности предлагают ряд компенсирующих мер для снижения риска. Эффективной временной защитой может стать развертывание межсетевого экрана уровня веб-приложений (Web Application Firewall, WAF). Такой экран способен фильтровать входящий трафик и блокировать известные шаблоны XSS-атак. Кроме того, критически важно ограничить доступ к веб-интерфейсу Ivanti EPM из интернета. Доступ должен предоставляться только через безопасные каналы, например, с использованием виртуальной частной сети (VPN). Также полезно сегментировать сеть, изолировав систему управления от других критически важных активов.
Дополнительный уровень безопасности обеспечат системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention Systems, IDS/IPS). Эти системы могут отслеживать сетевую активность и выявлять аномальные действия, характерные для попыток эксплуатации уязвимостей. Регулярный аудит логов на предмет подозрительных запросов к интерфейсу EPM также является хорошей практикой. Однако все эти меры носят временный характер и не заменяют установки официального патча.
На момент публикации данных о наличии активных эксплойтов в дикой природе нет, однако такая информация уточняется. Учитывая критический характер уязвимости и относительную простоту эксплуатации XSS для повышения привилегий, можно ожидать, что злоумышленники быстро включат её в свой арсенал. Особую опасность эта брешь представляет для целевых атак групп APT (Advanced Persistent Threat), которые часто используют уязвимости в средствах управления для закрепления в сети и горизонтального перемещения.
Таким образом, уязвимость в Ivanti Endpoint Manager представляет собой серьезную угрозу безопасности. Она позволяет обойти стандартные механизмы защиты и получить полный контроль над системой управления тысячами конечных точек в корпоративной сети. Своевременное обновление остается ключевым и самым эффективным способом защиты. Параллельно организациям следует применять принцип минимальных привилегий и многоуровневую защиту, чтобы даже в случае успешной атаки ограничить потенциальный ущерб.
Ссылки
- https://bdu.fstec.ru/vul/2025-15631
- https://www.cve.org/CVERecord?id=CVE-2025-10573
- https://forums.ivanti.com/s/article/Security-Advisory-EPM-December-2025-for-EPM-2024
