Lỗ hổng Ivanti EPM nghiêm trọng: Chiếm quyền điều khiển
Một lỗ hổng Ivanti EPM loại Cross-Site Scripting (XSS) được lưu trữ với mức độ nghiêm trọng cao đã được phát hiện trong các phiên bản Ivanti Endpoint Manager (EPM) 2024 SU4 trở xuống. Lỗ hổng này, được định danh là CVE-2025-10573, cho phép kẻ tấn công chiếm quyền điều khiển phiên làm việc của quản trị viên mà không cần xác thực.
Lỗ hổng CVE-2025-10573 đã được gán điểm CVSS 9.6, cho thấy mức độ rủi ro nghiêm trọng. Ivanti đã phát hành bản vá vào ngày 9 tháng 12 năm 2025, với phiên bản Ivanti EPM 2024 SU4 SR1 để khắc phục triệt để vấn đề này.
Chi tiết Kỹ thuật về Lỗ hổng CVE-2025-10573
Lỗ hổng này bắt nguồn từ API web ‘incomingdata’ của Ivanti EPM. API này chịu trách nhiệm xử lý dữ liệu quét thiết bị nhưng thiếu cơ chế xác thực đầu vào đầy đủ. Điều này tạo điều kiện cho kẻ tấn công gửi các payload độc hại thông qua một điểm cuối (endpoint) không cần xác thực.
Cơ chế Khai thác Ban đầu
Kẻ tấn công không cần xác thực có thể kết nối các điểm cuối giả mạo (fake managed endpoints) vào máy chủ EPM chính. Thông qua quá trình này, kẻ tấn công có thể chèn các mã JavaScript độc hại vào bảng điều khiển web của quản trị viên.
Các payload độc hại này được lưu trữ trong cơ sở dữ liệu thiết bị và sau đó được hiển thị trong giao diện bảng điều khiển quản trị viên khi quản trị viên truy cập.
Kịch bản Tấn công và Ảnh hưởng
Khi quản trị viên Ivanti EPM xem bảng điều khiển bị nhiễm độc trong quá trình hoạt động bình thường, mã JavaScript độc hại sẽ được kích hoạt. Điều này xảy ra do tương tác người dùng thụ động, dẫn đến việc thực thi mã JavaScript phía máy khách.
Việc thực thi mã độc này cấp cho kẻ tấn công toàn quyền kiểm soát phiên làm việc của quản trị viên. Khả năng chiếm quyền điều khiển phiên làm việc này mang lại nguy cơ lớn cho hệ thống.
Nguyên nhân Gốc rễ
Lỗ hổng nằm ở việc API ‘incomingdata’ xử lý dữ liệu quét thiết bị mà không có xác thực đầu vào phù hợp. Kẻ tấn công có thể lợi dụng điểm cuối không được xác thực này để gửi các payload độc hại.
Những payload này sau đó được lưu trữ trong cơ sở dữ liệu thiết bị và hiển thị trong giao diện bảng điều khiển quản trị viên mà không được lọc hoặc vệ sinh dữ liệu đúng cách (sanitization).
Phương thức Khai thác: Chi tiết Yêu cầu POST
Kẻ tấn công không cần xác thực có thể tạo một yêu cầu POST tới điểm cuối ‘/incomingdata/postcgi.exe’. Yêu cầu này chứa các payload XSS được nhúng trong các trường quét thiết bị như Device ID, Display Name, hoặc OS Name.
Các payload này tự động được xử lý và thêm vào cơ sở dữ liệu thiết bị mà không qua bước vệ sinh. Khi quản trị viên truy cập các trang bảng điều khiển web hiển thị thông tin thiết bị, bao gồm ‘frameset.aspx’ và ‘db_frameset.aspx’, các script độc hại sẽ được thực thi trong trình duyệt của họ.
POST /incomingdata/postcgi.exe HTTP/1.1Host: target-epm-server.comContent-Type: application/x-www-form-urlencodedContent-Length: [length]DeviceID=<script>alert('XSS by CVE-2025-10573');</script>&DisplayName=[...]Đoạn mã trên minh họa cách một payload XSS cơ bản có thể được nhúng vào trường DeviceID. Kẻ tấn công có thể tùy chỉnh payload này để thực hiện các hành vi độc hại phức tạp hơn, chẳng hạn như đánh cắp cookie phiên hoặc thực hiện các hành động thay mặt cho quản trị viên.
Phạm vi Ảnh hưởng và Mức độ Nghiêm trọng
Ivanti EPM là một phần mềm quản lý điểm cuối được triển khai rộng rãi trong các tổ chức. Nó được sử dụng cho các tác vụ như quản trị từ xa, quét lỗ hổng và quản lý tuân thủ.
Việc khai thác thành công lỗ hổng này cho phép kẻ tấn công kiểm soát các điểm cuối từ xa và cài đặt phần mềm trái phép. Điều này khiến lỗ hổng Ivanti EPM trở nên đặc biệt nguy hiểm, có thể dẫn đến xâm nhập mạng sâu rộng và gây ra các rủi ro bảo mật nghiêm trọng cho toàn bộ hệ thống.
Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật
Các tổ chức đang sử dụng Ivanti EPM phải ngay lập tức nâng cấp lên phiên bản Ivanti EPM 2024 SU4 SR1. Bản vá bảo mật này khắc phục hoàn toàn lỗ hổng CVE-2025-10573.
Theo Rapid7, việc vá lỗi các phiên bản bị ảnh hưởng càng sớm càng tốt là cực kỳ quan trọng do tính chất không cần xác thực của lỗ hổng. Việc trì hoãn cập nhật bản vá sẽ khiến hệ thống tiếp tục đối mặt với nguy cơ bị tấn công cao.
Tham khảo thêm thông tin chi tiết về lỗ hổng và bản vá tại: Rapid7 Blog Post: CVE-2025-10573 Ivanti EPM Unauthenticated Stored Cross-Site Scripting Fixed.
Bảo trì hệ thống với các bản vá bảo mật mới nhất là yếu tố then chốt để đảm bảo an ninh mạng và ngăn chặn các cuộc tấn công khai thác lỗ hổng nghiêm trọng như lỗ hổng Ivanti EPM này. Đây là một cảnh báo CVE quan trọng đòi hỏi sự chú ý ngay lập tức từ các quản trị viên hệ thống.
