vulnerabilidade-xss-ataque-attack-hackers.jpg

Ivanti corrige XSS crítica no Endpoint Manager

Ivanti corrige quatro falhas graves no Endpoint Manager (EPM) – incluindo uma XSS armazenada crítica (CVE-2025-10573, CVSS 9,6) – que podem levar à execução de código, escrita arbitrária de arquivos e bypass de controles em servidores de gestão.

Vulnerabilidades e impacto

Os problemas afetam o Ivanti Endpoint Manager 2024 SU4 e versões anteriores; a correção vem com a release 2024 SU4 SR1, já disponível via Ivanti License System (ILS).

  • CVE-2025-10573 (crítica, 9,6): XSS armazenada que permite a um atacante remoto e não autenticado executar JavaScript arbitrário na sessão de um administrador, exigindo interação do usuário, mas com alto impacto em confidencialidade e integridade.
  • CVE-2025-13659 (alta, 8,8): controle inadequado de recursos de código dinâmico, permitindo escrita de arquivos arbitrários no servidor e possível RCE.
  • CVE-2025-13662 (alta, 7,8): verificação inadequada de assinatura criptográfica no módulo de patch management, possibilitando execução de código via conteúdo malicioso assinado de forma indevida.
  • CVE-2025-13661 (alta, 7,1): path traversal que permite a atacantes autenticados gravar arquivos fora dos diretórios previstos.

Até o momento da divulgação, a Ivanti afirma não ter evidências de exploração ativa em ambiente real, mas recomenda aplicação imediata do patch devido ao potencial de uso em cadeias de ataque a infraestrutura de endpoint.

Mitigações recomendadas

Ivanti orienta atualizar o EPM para a versão 2024 SU4 SR1 o mais rápido possível, pois esse é o principal mecanismo de defesa contra todas as quatro falhas. Em ambientes em que o patch precise ser adiado, a empresa destaca que o EPM não deve ser exposto diretamente à internet; manter a interface de gestão acessível apenas por redes internas ou VPN reduz substancialmente o risco da XSS crítica.

Como medidas adicionais, administradores devem:

  • Restringir o acesso ao console EPM a administradores autorizados em segmentos de rede dedicados.
  • Bloquear importações de arquivos de configuração não confiáveis, já que duas vulnerabilidades dependem dessa interação.
  • Monitorar logs e atividades administrativas em busca de comportamentos anômalos (por exemplo, criações inesperadas de arquivos, mudanças em patches ou políticas).

As falhas foram reportadas por pesquisadores da Rapid7 (Ryan Emmons), watchTowr (Piotr Bazydlo) e pela Trend Micro Zero Day Initiative, em processo de disclosure responsável, e até agora não há IoCs públicos específicos – reforçando que o patch oficial é a principal proteção.