Ivanti łata krytyczną podatność RCE w Endpoint Manager (CVE-2025-10573). Co powinni zrobić administratorzy?

Wprowadzenie do problemu / definicja luki

Ivanti poinformowało o krytycznej podatności w Endpoint Manager (EPM), oznaczonej jako CVE-2025-10573. Błąd klasy stored XSS pozwala nieuprzywilejowanemu atakującemu wstrzyknąć złośliwy JavaScript, który po wyświetleniu przez administratora skutkuje przejęciem jego sesji — a w konsekwencji może prowadzić do pełnego zdalnego wykonania kodu (RCE) z uprawnieniami admina narzędzia. Luka została załatana w wydaniu EPM 2024 SU4 SR1.

W skrócie

• Identyfikator: CVE-2025-10573 (CVSS 9.6 wg zgłaszającego)
• Wpływ: przejęcie sesji admina EPM → potencjalnie RCE i pełna kontrola nad zarządzanymi stacjami
• Warunki: dostęp do primary EPM web service + interakcja admina (wyświetlenie zainfekowanej konsoli)
• Wersje: dotyczy wersji do EPM 2024 SU4 włącznie; patch w EPM 2024 SU4 SR1
• Status: brak potwierdzonej eksploatacji w momencie publikacji, ale w Internecie widoczne są setki instancji EPM wystawionych publicznie
• Działanie: pilna aktualizacja do EPM 2024 SU4 SR1 i schowanie EPM z Internetu (tylko dostęp zaufany/VPN)

Kontekst / historia / powiązania

Według doniesień prasowych Ivanti EPM bywał celem ataków, a CISA wielokrotnie dodawała luki w EPM do wykazów KEV, nakazując szybkie łatanie. To wpisuje się w szerszy trend regularnych podatności w ekosystemie Ivanti (EPM, EPMM, Connect Secure). Aktualna luka (grudzień 2025) pojawia się po serii wcześniejszych biuletynów i kampanii przeciw produktom Ivanti.

Analiza techniczna / szczegóły luki

Badacz z Rapid7 zidentyfikował wektor: nieautoryzowane dodanie „fałszywych” endpointów do serwera EPM poprzez web API incomingdata (CGI postcgi.exe), z polami skanu zawierającymi payload JS. Dane trafiają do bazy i są niebezpiecznie osadzane w interfejsie WWW administratora (np. frameset.aspx, db_frameset.aspx). Gdy admin wyświetli skażony widok, następuje wykonanie kodu JS w kontekście jego sesji (stored XSS). Rapid7 przytacza przykład żądania POST oraz pokazuje miejsca wykonania payloadu w UI.

Ivanti potwierdza, iż problem rozwiązano w EPM 2024 SU4 SR1. NVD opisuje błąd jako stored XSS wymagający interakcji użytkownika, ale możliwy do wyzwolenia przez zdalnego, nieautoryzowanego napastnika.

Praktyczne konsekwencje / ryzyko

• Przejęcie konsoli EPM: sesja admina = możliwość zdalnego sterowania hostami zarządzanymi, instalacji oprogramowania, zmian konfiguracji i lateral movement w domenie.
• Ekspozycja w Internecie: choć EPM „nie powinien” być wystawiany publicznie, Shadowserver identyfikuje setki dostępnych z sieci instancji — co dramatycznie obniża barierę ataku.
• Łańcuchy ataków: przejęta konsola EPM bywa „multiplikatorem mocy” dla atakujących (dystrybucja narzędzi, ransomware, kradzież poświadczeń, wyłączanie EDR). Wcześniejsze incydenty z produktami Ivanti pokazują, iż realna eksploatacja często następuje gwałtownie po publikacji łat.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast zaktualizuj do EPM 2024 SU4 SR1 (wersja zawiera poprawkę CVE-2025-10573). Zweryfikuj sukces aktualizacji na wszystkich core serverach.
2. Usuń ekspozycję EPM do Internetu. Konsola i endpointy powinny być dostępne wyłącznie przez sieci zaufane/VPN/ZTNA. Zweryfikuj dostępność portów i adresów publicznych (np. skanem z zewnątrz). Shadowserver publicznie raportuje widoczne instancje EPM — traktuj to jako ryzyko wysokie.
3. Tymczasowe twardnienie przed aktualizacją (gdy patching wymaga okna serwisowego):
   • Ogranicz dostęp do /incomingdata/postcgi.exe tylko z sieci agentów/zarządzanych hostów.
   • WAF/Reverse proxy: filtracja znaków cudzysłowów i <script> w polach skanów, CSP/X-Content-Type-Options, włączenie HttpOnly/SameSite dla ciasteczek sesyjnych (redukcja skutków XSS). (Działania doraźne – nie zastępują patcha). (na podstawie opisu wektora od Rapid7)
4. Monitoring i detekcja:
   • Przejrzyj logi serwera pod kątem nietypowych żądań POST do incomingdata/postcgi.exe i nagłych „fal” rejestracji urządzeń.
   • Szukaj artefaktów XSS w polach inwentarzowych, alertów EDR w kontekście procesu przeglądarki u adminów oraz nietypowych akcji konsoli (zdalne instalacje, skrypty). (wynika z mechaniki luki)
5. Segmentacja i zasada najmniejszych uprawnień: ogranicz liczbę kont admina EPM; stosuj MFA/SSO; rozdzielaj role „konsola” vs. „deployment”. (dobre praktyki ogólne)
6. Testy podatności: o ile korzystasz z Rapid7 (InsightVM/Nexpose/Exposure Command), użyj najnowszych treści detekcyjnych z 9 grudnia 2025. Inne skanery również już publikują sygnatury (NVD/Tenable).

Różnice / porównania z innymi przypadkami

• Ten przypadek (CVE-2025-10573) różni się od wcześniejszych RCE w Ivanti EPM/EPMM tym, iż stanem początkowym jest stored XSS + interakcja admina, ale efektywnie pozwala osiągnąć podobną dominację co klasyczne RCE po przejęciu sesji.
• Ekspozycja ma najważniejsze znaczenie: jak pokazują dane Shadowserver, samo „wystawienie” paneli zarządzania zwiększa powierzchnię ataku — w poprzednich falach dotyczących produktów Ivanti ataki gwałtownie następowały po publikacji.

Podsumowanie / najważniejsze wnioski

• Luka CVE-2025-10573 w Ivanti EPM jest krytyczna: umożliwia przejęcie sesji admina i potencjalne pełne RCE na środowisku zarządzania.
• Łatka jest dostępna: EPM 2024 SU4 SR1. Wdrożenie należy traktować priorytetowo.
• Nigdy nie wystawiaj EPM bezpośrednio do Internetu. Zastosuj segmentację, kontrolę dostępu i monitoruj anomalia w żądaniach do incomingdata.

Źródła / bibliografia

1. BleepingComputer – „Ivanti warns of critical Endpoint Manager code execution flaw”, 9 grudnia 2025. (BleepingComputer)
2. Rapid7 – „CVE-2025-10573: Ivanti EPM Unauthenticated Stored Cross-Site Scripting (Fixed)”, 9 grudnia 2025 (analiza techniczna, PoC request). (Rapid7)
3. NVD – rekord CVE-2025-10573 (opis i klasyfikacja). (NVD)
4. Ivanti – „December 2025 Security Update” (komunikat miesięczny z ujawnieniem luk w EPM). (ivanti.com)
5. Shadowserver – statystyki widocznych w Internecie instancji Ivanti EPM. (dashboard.shadowserver.org)