Ivanti, Uç Nokta Yöneticisi (EPM) yazılımında, uzaktan kod yürütmeyi ve ayrıcalık yükseltmeyi mümkün kılabilecek iki yüksek önem dereceli kusur da dahil olmak üzere 13 güvenlik açığını açıkladı ve müşterileri yamalar geliştirme aşamasındayken hafifletici önlemler uygulamaya teşvik etti.
Duyuru, kurumsal yönetim araçlarının giderek daha fazla incelendiği bir dönemde geldi; saldırganlar tedarik zinciri ihlalleri için bu araçları giderek daha fazla hedef alıyor.
Her ne kadar herhangi bir istismar rapor edilmemiş olsa da sorunlar, uç nokta güvenlik ortamlarındaki güncel olmayan dağıtımların risklerini vurgulamaktadır.
Endpoint Manager’da Açığa Çıkan Kritik Güvenlik Açıkları
Güvenlik açıkları arasında CVE-2025-9713, 8,8 CVSS puanıyla yüksek önem derecesine sahip bir yol geçiş sorunu olarak öne çıkıyor ve kullanıcıların kötü amaçlı dosyalarla etkileşime girmesi durumunda kimliği doğrulanmamış uzak saldırganların rastgele kod yürütmesine olanak tanıyor.
Kökü CWE-22’ye dayanan bu kusur, yapılandırma içe aktarma sırasında zayıf giriş doğrulamasından yararlanarak potansiyel olarak saldırganların EPM Core sunucusuna kötü amaçlı yükler yüklemesine ve çalıştırmasına izin veriyor.
Bunu tamamlayan, yerel kimliği doğrulanmış kullanıcıların ayrıcalıkları yükseltmesine izin vererek hassas sistem kaynaklarına yetkisiz erişim sağlayan güvenli olmayan bir seri durumdan çıkarma güvenlik açığı (CVSS 7.8, CWE-502) olan CVE-2025-11622’dir.
Kalan 11 güvenlik açığı, CVE-2025-11623 ve CVE-2025-62392’den CVE-2025-62384’e kadar orta şiddette SQL enjeksiyon kusurlarıdır (her biri CVSS 6.5, CWE-89).
| CVE Kimliği | Tanım | CVSS Puanı | Şiddet | CVSS vektör | CWE |
|---|---|---|---|---|---|
| CVE-2025-11622 | Yerel kimlik doğrulamalı ayrıcalık yükseltmeye izin veren güvenli olmayan seri durumdan çıkarma. | 7.8 | Yüksek | CVSS: 3.0/AV: L/AC: l/PR: l/UI: n/s: u/c: h/i: h/a: h | 502 |
| CVE-2025-9713 | Kullanıcı etkileşimi ile uzaktan kimlik doğrulaması yapılmamış RCE’ye izin veren yol geçişi. | 8.8 | Yüksek | CVSS: 3,0/AV: n/Ac: l/pr: n/ui: r/s: u/c: h/i: h/a: h | 22 |
| CVE-2025-11623 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62392 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62390 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62389 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62388 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62387 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62385 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62391 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62383 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62386 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
| CVE-2025-62384 | Uzaktan kimlik doğrulamalı keyfi veri okumaya izin veren SQL enjeksiyonu. | 6.5 | Orta | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | 89 |
Bunlar, kimlik doğrulaması uzaktan yapılan saldırganların, ilk kimlik doğrulamanın ötesinde kullanıcı etkileşimine ihtiyaç duymadan, kimlik bilgileri veya yapılandırma ayrıntıları da dahil olmak üzere veritabanından rastgele verileri almasına olanak tanır.
Ivanti, tüm sorunların Trend Micro’nun Sıfır Gün Girişimi aracılığıyla araştırmacı 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044 tarafından sorumlu bir şekilde rapor edildiğini ve savunmaların güçlendirilmesinde koordineli açıklamanın değerinin altını çizdiğini belirtti.
Ivanti, açıklama zamanında aktif bir saldırı olmadığını doğruladığından, hiçbir kavram kanıtı istismarı veya uzlaşma göstergesi (IoC) kamuya açıklanmadı.
Bununla birlikte, SQL enjeksiyonları yoluyla veri sızıntısı potansiyeli, SolarWinds veya Log4j gibi yönetim konsollarını hedef alan geçmiş olaylara benzer şekilde daha geniş kampanyalara yardımcı olabilir.
Ivanti EPM’nin 2024 SU3 SR1 ve önceki sürümleri etkileniyor; 2022 şubesi artık Ekim 2025 itibarıyla kullanım ömrünü tamamlayacak ve kullanıcıları resmi destekten mahrum bırakacak.
Yüksek önem derecesine sahip CVE’ler için, EPM 2024 SU4 için düzeltmelerin 12 Kasım 2025’te yapılması planlanıyor. SQL enjeksiyonları, SU5’te 2026’nın ilk çeyreğinde gerçekleştirilecek ve raporlama özelliklerini bozmadan bunları çözmenin karmaşıklığı nedeniyle gecikecek.
Ivanti, en son 2024 sürümüne yükseltmenin, gelişmiş güvenlik kontrolleri sayesinde risklerin çoğunu zaten azalttığını vurguladı. EOL sürümlerini kullanan müşteriler daha fazla riskle karşı karşıyadır ve yamalanmamış güvenlik açıklarından kaçınmak için derhal geçiş yapmalıdırlar.
Şirketin SSS bölümünde endişelere değiniliyor ve yamalar yakında çıkacak olsa da, acil azaltımların bu arada ortamları güvence altına alabileceği belirtiliyor.
Azaltmalar
Ivanti, CVE-2025-11622’ye karşı koymak için, yüksek aralıklı TCP bağlantı noktalarını engellemek için güvenlik duvarının beyaz listeye alınmasını ve yerleşik en iyi uygulamalara uygun olarak Core sunucu erişiminin yalnızca yerel EPM yöneticileriyle sınırlandırılmasını öneriyor.
CVE-2025-9713’teki yol geçişi için kullanıcıların güvenilmeyen yapılandırma dosyalarını içe aktarmaktan kaçınması ve bu tür eylemlerin doğası gereği riskler taşıması nedeniyle gerekli dosyaları kapsamlı bir şekilde incelemesi gerekir.
SQL enjeksiyon kümesi, Raporlama veritabanı kullanıcısını kaldırarak ele alınabilir, ancak bu, Ivanti’nin belgelerinde ayrıntılı olarak açıklanan bir değiş-tokuş olan analitik özelliklerini devre dışı bırakır. Genel olarak, EPM 2024 SU3 SR1 veya sonraki sürümlerde kalmak katmanlı korumalar sağlayarak kötüye kullanım olasılığını azaltır.
Ivanti’nin açıklaması, bekleyen yamalara rağmen şeffaflığa öncelik veriyor ve uç nokta yöneticilerinin fidye yazılımı ve APT grupları için birincil hedefler olduğu bir ortamda proaktif savunmalara olanak tanıyor. Kuruluşlar EPM kurulumlarını denetlemeli ve özel destek için Ivanti’nin Başarı Portalına başvurmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
