ImageFlow – shutterstock.com
Компания Ivanti недавно сообщила о серьезной уязвимости в своих системах EMP, позволяющей получать доступ к сессиям администраторов без аутентификации. Это может дать злоумышленникам возможность контролировать тысячи корпоративных устройств.
Разработчик выпустил версию EPM 2024 SU4 SR1 для устранения нескольких уязвимостей. Среди них критическая уязвимость CVE-2025-10573 с рейтингом CVSS 9,6.
Другие уязвимости
Обновление также исправляет две другие уязвимости (CVE-2025-13659 и CVE-2025-13662), которые позволяют злоумышленникам выполнять произвольный код. Кроме того, устранена уязвимость, позволяющая несанкционированно записывать файлы на сервер.
На момент обнаружения уязвимостей ни одна из систем клиентов не была скомпрометирована, подчеркнули в Ivanti в своем бюллетене безопасности.
Системы EPM и ранее становились целью атак. Агентство по кибербезопасности и защите инфраструктуры США (CISA) в марте включило три уязвимости EPM (CVE-2024-13159, CVE-2024-13160 и CVE-2024-13161) в свой каталог известных уязвимостей после подтверждения их активной эксплуатации. В октябре агентство сообщило о еще одной эксплуатируемой уязвимости EPM (CVE-2024-29824).
Повторяющиеся атаки демонстрируют ценность EPM для киберпреступников. Они получают постоянный доступ к сети и возможности для бокового перемещения. Как только злоумышленники компрометируют инфраструктуру управления конечными точками, они могут быстро распространиться по всей организации.
Вектор атаки без аутентификации
Текущая проблема безопасности в системах EPM от Ivanti представляет собой уязвимость типа межсайтового скриптинга (XSS). Изначально она была обнаружена исследователем безопасности Райаном Эммонсом из Rapid7 и сообщена Ivanti в августе.
Согласно отчету об уязвимости, опубликованному Rapid7, злоумышленники без аутентификации могут отправлять вредоносные данные сканирования устройств в API входящих данных EPM. Вредоносные данные обрабатываются и встраиваются в веб-панель управления EPM. Там они могут быть выполнены, когда администраторы открывают затронутые страницы.
«Злоумышленник с неаутентифицированным доступом к основному веб-сервису EPM может подключить поддельные управляемые конечные точки к серверу EPM, чтобы заразить веб-панель администратора вредоносным JavaScript», — объясняет Эммонс.
Как только вредоносный JavaScript будет выполнен, злоумышленники получат контроль над сессией администратора с полными правами для удаленного управления конечными точками и установки программного обеспечения на устройства.
В связи с этим Ник Таусек, специалист по безопасности Swimlane, предупредил: «Эксплуатация этой уязвимости предоставит злоумышленникам доступ ко многим управляемым устройствам одновременно, позволяя им выполнять вредоносный код, развертывать программы-вымогатели или извлекать конфиденциальные данные».
Проблема установки исправлений
Несмотря на срочность таких угроз, компаниям часто трудно быстро устранять критические уязвимости: исследование Swimlane показало, что 68% компаний оставляют критические уязвимости без исправлений более 24 часов. Кроме того, 55% не имеют комплексной системы приоритизации уязвимостей.
Задержка особенно рискованна для систем управления конечными точками, которые работают с повышенными привилегиями и управляют тысячами устройств. Успешная эксплуатация может обойти средства защиты безопасности, позволяя злоумышленникам передавать вредоносное ПО на управляемые конечные точки, изменять конфигурации безопасности или создавать постоянные бэкдоры по всей организации.
«Потенциал для серьезной атакующей кампании не следует недооценивать», — подчеркнул Таусек.
Инструкции по установке исправлений
Патч доступен через систему лицензирования Ivanti и применим к версиям EPM 2024 SU4 и более ранним. Компаниям, использующим версию 2022, следует учесть, что она была снята с поддержки в октябре 2025 года и больше не получает обновлений безопасности, добавили в Ivanti.
Командам по безопасности следует незамедлительно уделить приоритетное внимание обновлению экземпляров EPM до версии 2024 SU4 SR1, особенно для установок, доступных из недоверенных сетей. Патч следует установить в течение 24 часов.
Для компаний, которые не могут немедленно установить патч, Ivanti рекомендует убедиться, что интерфейсы управления EPM не доступны из Интернета, и внедрить строгую сегментацию сети.
Специалист Swimlane Таусек также советует обучать администраторов распознавать атаки социальной инженерии, поскольку критическая уязвимость XSS может быть вызвана только путем посещения поддельной страницы панели управления.
«Поскольку EPM часто работает с высокими привилегиями, любое злоупотребление сопряжено с риском обхода средств защиты безопасности, и последствия нарушения безопасности могут быстро усугубиться», — добавил он. (jm)
Автор – Gyana Swain
