Ivanti corrige quatro falhas graves no Endpoint Manager (EPM) – incluindo um XSS armazenado crítico (CVE-2025-10573, CVSS 9,6) – que pode levar à execução de código, escrita arbitrária de arquivos e desvio de controles em servidores de gestão.
Vulnerabilidades e impacto
Os problemas efeitos do Ivanti Endpoint Manager 2024 SU4 e versões anteriores; a vem correção com a versão 2024 SU4 SR1, já disponível via Ivanti License System (ILS).
- CVE-2025-10573 (crítica, 9,6): XSS armazenado que permite uma operação remota e não autenticado, executar JavaScript arbitrário na sessão de um administrador, exigindo interação do usuário, mas com alto impacto em confidencialidade e integridade.
- CVE-2025-13659 (alta, 8,8): controle inadequado de recursos de código sonoro, permitindo escrita de arquivos arbitrários no servidor e possível RCE.
- CVE-2025-13662 (alta, 7,8): verificação detectada de assinatura criptográfica no módulo de gerenciamento de patch, possibilitando execução de código via conteúdo malicioso contratado de forma indevida.
- CVE-2025-13661 (alta, 7,1): path traversal que permite que os atacantes autenticados gravem arquivos fora dos diretórios previstos.
Até o momento da divulgação, a Ivanti afirma não ter evidências de exploração ativa em ambiente real, mas recomenda a aplicação imediata do patch devido ao potencial de uso em cadeias de ataque a infraestrutura de endpoint.
Mitigações recomendadas
Ivanti orienta atualização do EPM para a versão 2024 SU4 SR1 o mais rápido possível, pois esse é o principal mecanismo de defesa contra todas as quatro falhas. Em ambientes em que o patch precisa ser adiado, a empresa destaca que o EPM não deve ser exposto diretamente à internet; manter uma interface de gerenciamento acessível apenas por redes internacionais ou VPN reduz o risco da crítica XSS.
Como medidas adicionais, os administradores devem:
- Restringir o acesso ao console EPM para administradores autorizados em segmentos de rede dedicados.
- Bloquear diretamente arquivos de configuração não é confiável, já que há duas vulnerabilidades dependentes dessa interação.
- Monitorar registros e atividades administrativas em busca de comportamentos anômalos (por exemplo, criações inesperadas de arquivos, mudanças em patches ou políticas).
As falhas foram relatadas por pesquisadores da Rapid7 (Ryan Emmons), watchTowr (Piotr Bazydlo) e da Trend Micro Zero Day Initiative, em processo de divulgação responsável, e até agora não há IoCs públicos específicos – reforçando que o patch oficial é a principal proteção.
