Ivanti vừa công bố 13 lỗ hổng CVE trong sản phẩm Ivanti Endpoint Manager (EPM), bao gồm hai vấn đề nghiêm trọng cho phép leo thang đặc quyền và thực thi mã từ xa, cùng mười một lỗ hổng SQL injection mức độ trung bình. Mặc dù hiện tại chưa có bằng chứng về việc các lỗ hổng này bị khai thác trong thực tế, Ivanti vẫn khuyến cáo khách hàng chuyển sang phiên bản hỗ trợ mới nhất và áp dụng các biện pháp giảm thiểu được khuyến nghị, vì các bản vá vẫn đang trong quá trình phát triển.

Phát hiện Lỗ hổng CVE Nghiêm trọng trong Ivanti EPM

Ivanti EPM 2022 đã đạt đến giai đoạn kết thúc vòng đời (end-of-life) vào tháng 10 năm 2025. Ivanti nhấn mạnh rằng phiên bản Ivanti EPM 2024 đã được tích hợp nhiều cải tiến bảo mật quan trọng, giúp giảm đáng kể rủi ro. Các bản sửa lỗi cho các phiên bản được hỗ trợ sẽ được phát hành theo hai giai đoạn.

Các lỗ hổng mất an toàn deserialization và path traversal dự kiến sẽ có trong Ivanti EPM 2024 SU4, dự kiến vào ngày 12 tháng 11 năm 2025. Trong khi đó, nhóm lỗ hổng SQL injection được lên kế hoạch cho EPM 2024 SU5 vào Quý 1 năm 2026. Cho đến khi các bản vá được phát hành, các quản trị viên nên triển khai các biện pháp khắc phục tạm thời để giảm thiểu mức độ phơi nhiễm.

Phân tích Chi tiết các Lỗ hổng Chính

Trong số 13 lỗ hổng CVE được công bố, có hai lỗ hổng nghiêm trọng nhất và mười một lỗ hổng SQL injection.

Lỗ hổng Nâng cao Đặc quyền (CVE-2025-11622)

• Mô tả: Đây là một vấn đề về deserialization không an toàn (CVE-2025-11622).
• Tác động: Cho phép một kẻ tấn công được xác thực cục bộ nâng cao đặc quyền trên hệ thống.
• Điểm CVSS:7.8 (cao).
• Phân loại CWE:CWE-502 (Deserialization of Untrusted Data).

Lỗ hổng Thực thi Mã từ xa (CVE-2025-9713)

• Mô tả: Đây là một lỗ hổng path traversal (CVE-2025-9713).
• Tác động: Cho phép kẻ tấn công không được xác thực thực hiện remote code execution. Tuy nhiên, việc khai thác yêu cầu tương tác với người dùng.
• Điểm CVSS:8.8 (cao).
• Phân loại CWE:CWE-22 (Path Traversal).

Loạt Lỗ hổng SQL Injection

Mười một lỗ hổng CVE còn lại đều là các điểm yếu về SQL injection. Các lỗ hổng này tiềm ẩn nguy cơ rò rỉ dữ liệu nhạy cảm.

• Mô tả: Các lỗ hổng SQL injection cho phép người dùng được xác thực từ xa đọc dữ liệu tùy ý từ cơ sở dữ liệu.
• Điểm CVSS:6.5 (trung bình) cho các lỗ hổng trong nhóm này.
• Phân loại CWE:CWE-89 (Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)).

Phiên bản Ảnh hưởng và Lộ trình Cập nhật Bản vá

Các phiên bản Ivanti Endpoint Manager bị ảnh hưởng bao gồm Ivanti EPM 2024 SU3 SR1 và các phiên bản trước đó, cùng với Ivanti EPM 2022 SU8 SR2 và các phiên bản trước đó. Đối với các phiên bản EPM 2022, chúng đã đạt đến giai đoạn end-of-life và cần được nâng cấp lên EPM 2024 càng sớm càng tốt.

Lộ trình Phát hành Bản vá

Ivanti đã công bố lộ trình phát hành các bản vá bảo mật cho các lỗ hổng này:

• Bản sửa lỗi cho CVE-2025-11622 (insecure deserialization) và CVE-2025-9713 (path traversal) dự kiến sẽ được phát hành trong Ivanti EPM 2024 SU4 vào khoảng ngày 12 tháng 11 năm 2025.
• Các bản sửa lỗi cho loạt lỗ hổng SQL injection được lên kế hoạch cho Ivanti EPM 2024 SU5 vào Quý 1 năm 2026.

Các Biện pháp Giảm thiểu và Khuyến nghị

Cho đến khi các bản cập nhật bản vá chính thức được phát hành, Ivanti khuyến nghị các quản trị viên áp dụng các biện pháp giảm thiểu sau đây để bảo vệ hệ thống của mình khỏi các lỗ hổng CVE đã biết.

Biện pháp Giảm thiểu cho CVE-2025-11622

• Đối với khách hàng đang sử dụng EPM 2024 SU3 SR1, rủi ro đã được giảm thiểu.
• Đối với những khách hàng chưa nâng cấp, cần thực hiện việc whitelisting và hạn chế quyền truy cập thông qua tường lửa đáng tin cậy. Điều này nhằm chặn quyền truy cập từ xa vào các cổng TCP dải cao tùy ý.
• Giới hạn quyền truy cập vào EPM Core server chỉ cho các quản trị viên cục bộ.

Biện pháp Giảm thiểu cho CVE-2025-9713

• Ivanti khuyến cáo không bao giờ nhập các tệp cấu hình không đáng tin cậy vào EPM Core server.
• Nếu việc nhập là không thể tránh khỏi, hãy xem xét kỹ lưỡng nội dung của tệp. Tuy nhiên, hành động này vốn dĩ mang theo rủi ro đáng kể.

Biện pháp Giảm thiểu cho Loạt Lỗ hổng SQL Injection

• Quản trị viên có thể xóa người dùng cơ sở dữ liệu Reporting để loại bỏ phơi nhiễm.
• Lưu ý: Việc này sẽ vô hiệu hóa chức năng báo cáo, vì một người dùng báo cáo chỉ đọc là cần thiết để chạy bất kỳ báo cáo EPM nào.

Khuyến nghị Chung và Thực hành Tốt nhất

Các tổ chức nên thường xuyên xem xét lại quyền truy cập quản trị, tăng cường các quy tắc tường lửa và tránh nhập các dữ liệu không đáng tin cậy để giảm bề mặt tấn công cho đến khi các bản cập nhật được phát hành. Kế hoạch nâng cấp nên ưu tiên chuyển sang Ivanti EPM 2024 và chuẩn bị cho việc triển khai SU4 và SU5.

Trong thời gian chờ đợi, cần áp dụng các thực tiễn bảo mật nghiêm ngặt như nguyên tắc đặc quyền tối thiểu (least-privilege), phân đoạn mạng (network segmentation) và xác thực đầu vào (input validation) để giảm thiểu rủi ro.

Ivanti đã ghi nhận công lao của nhà nghiên cứu 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044 làm việc với Zero Day Initiative của Trend Micro đã báo cáo tất cả các lỗ hổng CVE này. Tham khảo thông báo chính thức của Ivanti tại Ivanti Security Advisory để biết thêm chi tiết.