Ivanti

A Ivanti lançou atualizações de segurança críticas para corrigir três vulnerabilidades de alta severidade no Ivanti Endpoint Manager, que afetam a versão 2024 SU3 SR1 e anteriores. As falhas permitem que atacantes autenticados escrevam arquivos arbitrários em qualquer local do disco de um sistema, o que pode levar a acessos não autorizados e comprometimento do sistema. A vulnerabilidade mais crítica, identificada como CVE-2025-10918, resulta de permissões padrão inseguras no agente do Endpoint Manager, com uma pontuação CVSS de 7.1, indicando um alto risco à segurança do sistema. A exploração dessas vulnerabilidades requer acesso local e credenciais de autenticação válidas. Embora a Ivanti não tenha encontrado evidências de exploração por parte de clientes até o momento, a empresa recomenda que as organizações atualizem imediatamente para a versão 2024 SU4, que corrige todas as falhas. Além disso, as equipes de segurança devem auditar suas implementações do Endpoint Manager e monitorar atividades suspeitas de criação de arquivos em locais inesperados para detectar tentativas de exploração.

A Ivanti divulgou a correção de treze vulnerabilidades críticas em sua linha de produtos Endpoint Manager (EPM), que incluem falhas de desserialização insegura, travessia de caminho e uma série de vulnerabilidades de injeção SQL. Embora não haja relatos de exploração ativa, duas falhas foram classificadas como de alta severidade, sendo a mais crítica a CVE-2025-11622, que permite a escalada de privilégios por um usuário local autenticado. A segunda, CVE-2025-9713, é uma vulnerabilidade de travessia de caminho que pode ser explorada por um atacante não autenticado para execução remota de código, desde que um arquivo de configuração malicioso seja importado. As demais falhas são relacionadas à injeção SQL, permitindo que usuários autenticados recuperem registros arbitrários do banco de dados. A Ivanti recomenda que os clientes migrem do EPM 2022, que chegou ao fim da vida útil, para o EPM 2024 e implementem medidas provisórias até que os patches completos sejam disponibilizados. As atualizações estão programadas para serem lançadas em novembro de 2025 e no primeiro trimestre de 2026.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma campanha de malware sofisticada que explora duas vulnerabilidades recentemente divulgadas no Ivanti Endpoint Manager Mobile (EPMM). As falhas, identificadas como CVE-2025-4427 e CVE-2025-4428, permitem a execução remota de código não autenticado em servidores EPMM locais. Os atacantes utilizam requisições HTTP GET manipuladas para injetar segmentos de código malicioso, contornando defesas baseadas em assinatura. A CISA recomenda que as organizações atualizem imediatamente suas versões do Ivanti EPMM, tratem os sistemas de gerenciamento de dispositivos móveis como ativos de alto valor e implementem regras de detecção para identificar atividades suspeitas. A análise da CISA inclui regras YARA e SIGMA para ajudar na identificação de artefatos maliciosos e comportamentos anômalos. A vigilância contínua e a gestão rápida de patches são essenciais para mitigar essa ameaça ativa.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre duas famílias de malware encontradas na rede de uma organização não identificada, após a exploração de vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM). As falhas exploradas, CVE-2025-4427 e CVE-2025-4428, permitiram que atacantes contornassem a autenticação e executassem código remotamente. A primeira vulnerabilidade permite o acesso a recursos protegidos, enquanto a segunda possibilita a execução de código arbitrário. Os atacantes conseguiram acessar o servidor EPMM em meados de maio de 2025, utilizando um exploit de prova de conceito. Após a invasão, foram implantados dois conjuntos de arquivos maliciosos que garantiram a persistência e a execução de código arbitrário. Esses arquivos manipulam requisições HTTP para decodificar e executar cargas úteis maliciosas. Para se proteger, as organizações devem atualizar suas instâncias para a versão mais recente e monitorar atividades suspeitas.

A Ivanti divulgou atualizações críticas para o Ivanti Endpoint Manager (EPM) devido a duas vulnerabilidades de execução remota de código, identificadas como CVE-2025-9712 e CVE-2025-9872. Ambas as falhas, que afetam as versões 2024 SU3 e 2022 SU8 do software, resultam de uma validação inadequada de nomes de arquivos. Um atacante não autenticado pode criar nomes de arquivos maliciosos que, ao serem manipulados por um usuário, podem levar à execução de código arbitrário. Ambas as vulnerabilidades possuem uma pontuação CVSS de 8.8, indicando um alto impacto em confidencialidade, integridade e disponibilidade. A Ivanti recomenda que os clientes instalem as atualizações de segurança disponíveis para mitigar os riscos. É importante ressaltar que a versão 2022 SU8 atingirá o fim de sua vida útil em outubro de 2025, o que significa que não receberá mais correções de segurança. Portanto, as organizações que ainda utilizam essa versão devem planejar uma atualização para a versão 2024 ou uma alternativa suportada para garantir a conformidade de segurança.

A Ivanti divulgou um aviso de segurança em setembro de 2025, alertando sobre onze vulnerabilidades em seu portfólio de Acesso Seguro, que inclui o Connect Secure, Policy Secure e ZTA Gateways. Dentre as falhas, seis são de severidade média e cinco de alta severidade, com destaque para problemas de bypass de autorização e CSRF (Cross-Site Request Forgery). Essas vulnerabilidades permitem que usuários autenticados com privilégios limitados modifiquem configurações restritas, possibilitando a escalada de privilégios. Além disso, atacantes não autenticados podem induzir vítimas a executar ações sensíveis com mínima interação. A Ivanti recomenda que os administradores apliquem patches ou mitigações imediatamente para proteger a infraestrutura de acesso remoto. As falhas incluem também problemas de negação de serviço e injeção de texto refletido, que, embora classificadas como de severidade média, podem facilitar ataques mais amplos. A empresa aconselha que portais administrativos não sejam acessíveis publicamente para reduzir a exposição a riscos. Os patches estão disponíveis para as versões afetadas, e a Ivanti agradece ao pesquisador de segurança Nikolay Semov pela colaboração na identificação de uma das falhas.