Vulnérabilité critique dans les produits Ivanti Endpoint Manager
.png)
Produits concernés
• Versions antérieures à EPM 2024 SU4 SR1
Prérequis
• Interaction utilisateur
• Accès non authentifié au service web principal d'EPM
• Accès réseau à l’API d’ingestion de données (incomingdata)
• Version vulnérable du produit concerné
Risques
• Accès à l'administration de la solution
• Exécution de code arbitraire via une session administrateur
• Accès au réseau interne de l’entreprise
• Exécution de code sur les actifs gérés par la solution
Résumé
Ivanti a publié un avis de sécurité sur une vulnérabilité critique affectant la solution Ivanti Endpoint Manager (EPM), Cette faille permet l’accès à un compte administrateur par l’attaquant.
- CVE-2025-10573 : Une vulnérabilité de type Stored Cross-Site Scripting (XSS stockée) dans le logiciel Ivanti Endpoint Manager (EPM) impactant toutes les versions antérieures à la version 2024 SU4 SR1.
Elle permet à un attaquant non authentifié (sans compte et sans mot de passe) d’injecter du code JavaScript malveillant sur la page /incomingdata/postcgi.exe. Ce code, accessible dans un dashboard de l’interface Web d’administration EPM, sera ensuite exécuté automatiquement dès lors qu’un administrateur chargera ce dashboard.
L’exploitation de cette CVE pourra permettre d’usurper la session d’un administrateur et par conséquent, obtenir une compromission complète de l’infrastructure du système d’information via Ivanti Endpoint Manager, l’attaquant peut ainsi effectuer des actions malveillantes sur le parc géré par EPM.
À l’heure actuelle, aucun signe d’exploitation par des acteurs malveillants ni d’exploit public n’a été identifié à ce jour, toutefois un proof of concept (PoC) est déjà disponible.
De plus, son exploitabilité reste fortement probable prochainement au vu des informations liées au PoC.
Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.
Solutions
Détection de la compromission :
Afin de vérifier si un équipement est compromis, vous pouvez:
• Auditer les logs d’accès et d’API web (requêtes entrantes vers l’API incomingdata, en particulier vers postcgi.exe) afin de repérer des requêtes suspectes.
• Vérifier le contenu de l’interface web d’administration si des périphériques managés (endpoints) ajoutés récemment apparaissent, surtout si leur nom, hardware ID ou autre attribut contient des caractères suspects. Ces ajouts pourraient indiquer qu’un attaquant a tenté une exploitation.
En cas de compromission ou de doute, il est dans ce cas nécessaire de révoquer les sessions en cours, de s’assurer que l’interface d’administration n’est pas publiquement disponible, et qu’aucune action illégitime n’ait été effectuée.
Remédiation :
Mettre à jour Ivanti EPM vers la version 2024 SU4 SR1
Mitigation :
Ivanti EPM n'est pas conçu pour être une solution accessible depuis Internet. Si la solution n’est pas exposée à Internet, le risque lié à cette vulnérabilité est réduit.
Le détail est disponible dans les liens en références.
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
