Selon BleepingComputer, Ivanti alerte sur une vulnérabilité critique dans son produit Endpoint Manager (EPM), identifiée comme CVE-2025-10573, permettant à un attaquant non authentifié d’exécuter du JavaScript via une attaque XSS avec interaction minimale de l’utilisateur.

🚨 Détails de la faille: la vulnérabilité peut être exploitée par des acteurs distants et non authentifiés pour empoisonner le tableau de bord administrateur. D’après le chercheur de Rapid7 Ryan Emmons (découvreur de la faille en août), un attaquant pouvant accéder au service web principal d’EPM peut enregistrer de faux endpoints gérés afin d’injecter du JavaScript malveillant. Lorsque l’administrateur EPM affiche un tableau de bord contaminé, l’exécution de JavaScript côté client est déclenchée, permettant à l’attaquant de prendre le contrôle de la session administrateur.

🛠️ Correctif: Ivanti a publié EPM 2024 SU4 SR1 pour corriger le problème et souligne que le risque est réduit si EPM n’est pas exposé sur Internet. Toutefois, la plateforme de veille Shadowserver observe des centaines d’instances EPM accessibles depuis Internet, notamment aux États-Unis (569), en Allemagne (109) et au Japon (104).

🔧 Mises à jour connexes: Ivanti publie également des correctifs pour trois vulnérabilités de sévérité élevée, dont CVE-2025-13659 et CVE-2025-13662, susceptibles de permettre l’exécution de code, mais nécessitant une interaction utilisateur et une connexion à un core server non fiable ou l’import de fichiers de configuration non fiables. Ivanti indique ne pas avoir connaissance d’exploitations avant divulgation et précise que ces failles proviennent de son programme de divulgation responsable.

📚 Contexte: les failles EPM d’Ivanti sont régulièrement ciblées. En mars, la CISA a signalé trois vulnérabilités critiques (CVE-2024-13159, CVE-2024-13160, CVE-2024-13161) comme exploitées, et en octobre 2024, elle a ordonné le correctif d’une autre faille activement exploitée (CVE-2024-29824).

TTPs observées/mentionnées:

  • XSS (Cross-Site Scripting) avec injection de JavaScript dans le tableau de bord administrateur.
  • Enregistrement de faux endpoints via accès non authentifié au service web principal EPM.
  • Exécution côté client menant à la prise de contrôle de session administrateur.
  • Scénarios additionnels nécessitant interaction utilisateur: connexion à un core server non fiable ou import de configurations non fiables.

IOCs: Aucun indicateur (IP, domaines, hachages) n’est fourni dans l’article.

Il s’agit d’un article de presse spécialisé annonçant une vulnérabilité et la disponibilité des correctifs.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/ivanti-warns-of-critical-endpoint-manager-code-execution-flaw/