Ivanti, dört farklı güvenlik açığını gidermek amacıyla Uç Nokta Yöneticisi (EPM) çözümü için resmi olarak acil güvenlik güncellemeleri yayınladı. En son danışma belgesi, saldırganların rastgele kod yürütmesine, sunucuya dosya yazmasına veya güvenlik kısıtlamalarını atlamasına olanak verebilecek bir kritik güvenlik açığını ve üç yüksek önemdeki sorunu vurguluyor.
Şirket, açıklama sırasında bu kusurlardan aktif olarak yararlanıldığının farkında olmadığını doğrulamış olsa da, yöneticilerden potansiyel saldırıları önlemek için yamaları hemen uygulamaları isteniyor.
Güvenlik açıkları Ivanti Endpoint Manager’ın 2024 SU4 ve önceki sürümlerini etkiliyor. Bu sorunları düzeltmek için satıcı, artık Ivanti Lisans Sistemi (ILS) aracılığıyla edinilebilen 2024 SU4 SR1 sürümünü yayımladı.
Bu güncellemedeki en ciddi sorun, 9,6 kritik CVSS puanına sahip bir Depolanmış Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı olan CVE-2025-10573 olarak izleniyor.
Bu kusur, 2024 SU4 SR1’den önceki sürümlerde mevcuttur ve uzaktaki, kimliği doğrulanmamış bir saldırganın, yönetici oturumunda rastgele JavaScript çalıştırmasına izin verir.
Bu güvenlik açığından başarıyla yararlanılabilmesi için kullanıcı etkileşimi gerekir, ancak yönetim gizliliği ve bütünlüğü üzerindeki olası etkisi önemlidir.
Ivanti, bu kritik kusurun yanı sıra üç adet yüksek önemdeki güvenlik açığını da ele aldı. CVE-2025-13659, dinamik olarak yönetilen kod kaynaklarının uygunsuz kontrolünü içerir; kimliği doğrulanmamış saldırganların sunucuya rastgele dosyalar yazmasına olanak tanır ve potansiyel olarak uzaktan kod yürütülmesine yol açar.
Geriye kalan iki kusur, CVE-2025-13661 ve CVE-2025-13662, sırasıyla yol geçişi ve hatalı kriptografik imza doğrulamasıyla ilgilidir. Her ikisi de, özellikle güvenilmeyen yapılandırma dosyalarının içe aktarılmasını içeren kullanıcı etkileşimi gerektirir.
| CVE Numarası | Tanım | Şiddet | CVSS Puanı |
|---|---|---|---|
| CVE-2025-10573 | Kimliği doğrulanmamış uzak saldırganların yönetici oturumlarında rastgele JavaScript yürütmesine olanak tanıyan depolanan XSS. | Kritik | 9.6 |
| CVE-2025-13659 | Kod kaynaklarının uygunsuz kontrolü, rastgele dosya yazmaya ve potansiyel RCE’ye neden olur. | Yüksek | 8.8 |
| CVE-2025-13662 | Yama yönetiminde kriptografik imzaların hatalı doğrulanması, rastgele kod yürütülmesine olanak tanıyor. | Yüksek | 7.8 |
| CVE-2025-13661 | Kimliği doğrulanmış saldırganların, dosyaları amaçlanan dizinlerin dışına yazmasına olanak tanıyan yol geçişi. | Yüksek | 7.1 |
Azaltmalar
Ivanti, anında yama uygulamasının gecikebileceği ortamlar için belirli azaltım önlemlerinin altını çizdi. Kritik XSS kusuru (CVE-2025-10573) ile ilgili olarak şirket, EPM’nin internete yönelik bir çözüm olarak tasarlanmadığını belirtti.
Yönetim arayüzlerinin genel internete açık olmamasını sağlayan kuruluşlar, bu güvenlik açığı riskini önemli ölçüde azaltır.
Bu güvenlik açıklarının keşfi, sorumlu açıklama kanalları aracılığıyla çalışan birçok güvenlik araştırmacısına atfedildi.
Ivanti, kritik XSS kusurunun belirlenmesi konusunda Rapid7’den Ryan Emmons’ın, dosya yazma güvenlik açığı konusunda watchTowr’dan Piotr Bazydlo’nun (@chudyPB) ve geri kalan yol geçişi ve imza doğrulama sorunları için Trend Zero Day Initiative ile çalışan araştırmacıların katkılarını takdir etti.
Şu anda bilinen hiçbir güvenlik ihlali göstergesi (IoC) bulunmadığından, satıcı tarafından sağlanan yamayı uygulamak birincil savunma olmaya devam ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
