Ivanti i Zoom łatają luki o wysokiej ważności: EPM (Ivanti Endpoint Manager) i klienci Zoom zagrożone eskalacją uprawnień i zapisem plików

Wprowadzenie do problemu / definicja luki

Ivanti i Zoom opublikowały aktualizacje bezpieczeństwa usuwające szereg luk o wysokiej ważności. W Ivanti Endpoint Manager (EPM) załatano m.in. podatności umożliwiające zapis/wykreowanie dowolnych plików, eskalację uprawnień oraz — w niektórych scenariuszach — zdalne wykonanie kodu. Zoom opublikował dziewięć biuletynów, w tym trzy luki o wysokiej ważności w klientach mobilnych oraz VDI dla Windows (eskalacja uprawnień), a także kilka średniej ważności (ujawnienie informacji, XSS).

W skrócie

• Ivanti EPM: trzy istotne CVE — CVE-2025-9713 (path traversal → RCE), CVE-2025-11622 (insecure deserialization → RCE) i CVE-2025-10918 (domyślne, zbyt szerokie uprawnienia → dowolny zapis plików / EoP). Dotyczy wersji przed 2024 SU4. Brak sygnałów o exploitach „in the wild”.
• Zoom: dziewięć biuletynów; luki o wysokiej ważności to CVE-2025-62484 (klienci Zoom Workplace – złożoność wyrażeń regularnych → EoP), CVE-2025-64741 (Android – nieprawidłowe autoryzacje → EoP) i CVE-2025-64740 (VDI Client for Windows – weryfikacja podpisu kryptograficznego → EoP).
• Kontekst: dwie z luk Ivanti (CVE-2025-9713 i CVE-2025-11622) nagłośniono już w październiku po tym, jak ZDI ujawniło 13 niezałatanych problemów w EPM; Ivanti obiecało poprawki na listopad i je dostarczyło.

Kontekst / historia / powiązania

W październiku 2025 Trend Micro Zero Day Initiative (ZDI) opublikowało serię 13 poradników dotyczących 0-dayów w Ivanti EPM (głównie RCE i EoP), eskalując sprawę z powodu opóźnień w łataniu. Ten kontekst tłumaczy, dlaczego listopadowy pakiet Ivanti ma tak „skondensowany” charakter i obejmuje wcześniej ujawnione podatności.

Równolegle Zoom w 2025 roku miał już kilka głośnych poprawek (m.in. krytyczna luka CVE-2025-49457 w kliencie Windows w sierpniu). Najnowszy zestaw z 11 listopada 2025 r. porządkuje bezpieczeństwo nowych aplikacji Zoom Workplace (w tym VDI i mobile).

Analiza techniczna / szczegóły luki

Ivanti Endpoint Manager (EPM)

• CVE-2025-9713 – Path Traversal → możliwe RCE
  Słabość walidacji ścieżek umożliwia zapisywanie/odczyt plików poza katalogami docelowymi. W połączeniu z innymi wektorami może prowadzić do zdalnego wykonania kodu w kontekście usługi/agentów EPM. Dotyczy wydań przed 2024 SU4.
• CVE-2025-11622 – Insecure Deserialization → RCE
  Niezaufane obiekty mogą zostać zdeserializowane po stronie serwera/agentów, co pozwala atakującemu wstrzyknąć ładunek prowadzący do wykonania kodu.
• CVE-2025-10918 – Insecure Default Permissions → dowolny zapis plików / EoP
  Domyślne uprawnienia agenta EPM umożliwiają nadpisanie lub stworzenie plików systemowych przez lokalnego, uwierzytelnionego użytkownika i „podniesienie” się do konta o wyższych uprawnieniach. Ivanti wskazuje, iż nie ma dowodów na aktywne wykorzystanie.

Uwaga operacyjna: Dwie pierwsze luki (9713, 11622) są kontynuacją październikowych ujawnień ZDI i zostały oficjalnie załatane w gałęzi 2024 SU4, zgodnie z zapowiedzią z października.

Zoom (Workplace / VDI / Mobile)

• CVE-2025-62484 – „Inefficient Regular Expression Complexity” → EoP
  Wadliwy parser (reguły regex) może powodować nadmierne zużycie zasobów i prowadzić do scenariuszy eskalacji uprawnień (np. gdy komponent działa z wyższymi uprawnieniami). Poprawka dostępna w Zoom Workplace Clients 6.5.10 i nowszych.
• CVE-2025-64741 – Improper Authorization Handling (Android) → EoP
  Błędne egzekwowanie autoryzacji w aplikacji mobilnej Zoom na Androida może umożliwić lokalnemu atakującemu uzyskanie wyższych uprawnień w aplikacji.
• CVE-2025-64740 – Improper Verification of Cryptographic Signature (VDI for Windows) → EoP
  Niewystarczająca weryfikacja podpisów kryptograficznych w Zoom Workplace VDI Client for Windows umożliwia manipulację procesem instalacji/aktualizacji i wykonanie kodu z uprawnieniami systemowymi. Wymaga lokalnego dostępu, ale skutki są poważne (SYSTEM/Administrator).

Praktyczne konsekwencje / ryzyko

• Ivanti EPM
  • Ryzyko trwałej persystencji przez droppery/serwisy, jeżeli atakujący uzyska możliwość zapisu w ścieżkach systemowych (CVE-2025-10918).
  • RCE po złożeniu kilku primitywów (path traversal + niebezpieczna deserializacja) — szczególnie groźne w środowiskach, gdzie serwer EPM zarządza tysiącami agentów.
  • Potencjał lateral movement (dystrybucja payloadu jako „zadanie” EPM).
• Zoom
  • Eskalacja uprawnień lokalnych na stacjach VDI/VDI-pluginach i endpointach użytkowników (Windows/macOS/Linux), co często wystarcza do kradzieży danych uwierzytelniających, dodania konta admina lub wdrożenia narzędzi LPE → C2.
  • Luki średniej ważności (m.in. ujawnienie informacji, XSS) mogą ułatwić post-exploitation, fingerprinting systemu i przygotowanie ataku ukierunkowanego.

Rekomendacje operacyjne / co zrobić teraz

1) Patchowanie priorytetowe

• Ivanti EPM
  • Aktualizuj do EPM 2024 SU4 (lub nowszej) na serwerach i agentach. Zgodnie z komunikatem listopadowym Ivanti — brak dowodów na aktywne wykorzystanie, ale wektor jest poważny.
• Zoom
  • Zaimplementuj wersje wskazane w biuletynach: Workplace Clients ≥ 6.5.10, VDI Client for Windows (zestaw wersji naprawczych wg ZSB-25042), Android/iOS zgodnie z ZSB. Zaplanuj wymuszoną aktualizację w MDM/Intune/Jamf.

2) Kontrole detekcyjne (przykłady)

• Windows – polowanie na nietypowe zapisy w ścieżkach systemowych (EPM/LPE): # Wyszukaj ostatnie 48h modyfikacji krytycznych plików przez procesy EPM/niepodpisane Get-WinEvent -LogName Security -FilterHashtable @{Id=4663; StartTime=(Get-Date).AddHours(-48)} | Where-Object { $_.Properties[8].Value -match 'C:\\Windows\\(System32|SysWOW64)|C:\\ProgramData' } | Where-Object { $_.Properties[5].Value -match 'LDMS|EPM|Ivanti|unknown' } | Select TimeCreated, @{n="Obj";e={$_.Properties[6].Value}}, @{n="Proc";e={$_.Properties[1].Value}}
• EDR/SIEM – podejrzane uruchomienia instalatorów Zoom z nietypowych lokalizacji (CVE-2025-64740):
  • Reguła (Sigma-like): process_name: (ZoomVDI*.msi OR Zoom*.exe) AND parent: (msiexec.exe) AND image_path NOT IN (%ProgramFiles%, %SystemRoot%) AND signature_status: "invalid" OR "missing".
• Linux/macOS – fingerprint wersji Zoom: # Linux zoom --version 2>/dev/null || dpkg -l | grep -i zoom # macOS /Applications/zoom.us.app/Contents/MacOS/Zoom --version 2>/dev/null strings "/Library/Application Support/Zoom/ZoomDaemon" | grep -i "Version"
• Inwentarz agentów EPM (PowerShell, WMI/Registry): Get-ItemProperty 'HKLM:\SOFTWARE\Ivanti\ManagementSuite\Agent' | Select-Object ComputerName, AgentVersion, Build, InstallDate

3) Twardnienie konfiguracji

• Ivanti EPM
  • Wymuś Least Privilege dla kont serwisowych EPM; izoluj katalogi robocze agentów (ACL z wyraźnym „deny” dla zwykłych użytkowników).
  • Segmentacja sieci i TLS mTLS między serwerem EPM a agentami.
  • Włącz dodatkowe walidacje ładunków w zadaniach dystrybucji (hashy, podpisów).
• Zoom
  • Zablokuj uruchamianie instalatorów z katalogów tymczasowych/Użytkownika (AppLocker/WDAC, SRP).
  • W VDI kontroluj golden image, podpisy i łańcuch aktualizacji; integruj z MDM/EMM dla mobile.

4) Reagowanie / weryfikacja ekspozycji

• Sprawdź, czy w organizacji występują wersje EPM < 2024 SU4 oraz klienci Zoom < 6.5.10/stare VDI. Zdefiniuj SLA: krytyczne systemy – 72 h; reszta – 7 dni.
• Przegląd logów z ostatnich 30 dni pod kątem: nietypowego zapisu plików w katalogach systemowych, anomalii instalatora Zoom, nagłych restartów usług EPM.

Różnice / porównania z innymi przypadkami (dla studentów i SOC)

• EPM vs. EPMM/Neurons: opisywane tu luki dotyczą Endpoint Manager (on-prem), a nie (głośnych w przeszłości) podatności w Endpoint Manager Mobile (EPMM) wykorzystywanych „na żywo”. Mechanika ataku i powierzchnia są inne.
• Zoom „krytyczne” z sierpnia vs. „wysokie” z listopada: w sierpniu mieliśmy CVE-2025-49457 (krytyczne, untrusted search path, Windows), obecny zestaw to głównie lokalne EoP i problemy integralności (wysoka waga, ale mniejsza zdalność).

Podsumowanie / najważniejsze wnioski

1. Patch teraz: EPM do 2024 SU4; Zoom do wersji z biuletynów z 11.11.2025 (Workplace ≥ 6.5.10, odpowiednie wydania VDI/Android).
2. Włącz detekcję LPE: szukaj nietypowych zapisów plików, anomalii instalatora i braków podpisów.
3. Twardnij łańcuch aktualizacji (podpisy, WDAC/AppLocker, kontrola źródeł instalacji).
4. Kontekst ZDI: listopadowe łatki Ivanti nadrabiają część 13 ujawnionych w październiku problemów — nie odwlekaj wdrożenia.

Źródła / bibliografia

• SecurityWeek: „High-Severity Vulnerabilities Patched by Ivanti and Zoom” (12 listopada 2025). (SecurityWeek)
• Ivanti: „November 2025 Security Update” (11 listopada 2025). (Ivanti)
• Zoom: strona Security Bulletins (ZSB-25048/43/42 i inne; 11 listopada 2025). (Zoom)
• SecurityWeek: „ZDI drops 13 unpatched Ivanti Endpoint Manager vulnerabilities” (10 października 2025). (SecurityWeek)
• eSecurity Planet: „Critical Zoom Vulnerability Exposes Windows Users to Attacks” – kontekst techniczny CVE-2025-64740 (11 listopada 2025). (eSecurity Planet)