Ivanti đã phát hành các cập nhật bảo mật quan trọng cho Ivanti Endpoint Manager (EPM) nhằm khắc phục ba lỗ hổng CVE có mức độ nghiêm trọng cao. Các lỗ hổng này có thể cho phép kẻ tấn công đã xác thực ghi các tệp tùy ý vào bất kỳ vị trí nào trên các hệ thống bị ảnh hưởng.

Thông báo bảo mật được công bố vào ngày 10 tháng 11 năm 2025, với bản vá mới nhất đã có sẵn ngay lập tức. Đây là một bước cần thiết để đảm bảo an toàn cho hệ thống và dữ liệu của các tổ chức sử dụng EPM.

Chi tiết về CVE nghiêm trọng: CVE-2025-10918

Lỗ hổng đáng quan ngại nhất trong số này là CVE-2025-10918, phát sinh từ các quyền mặc định không an toàn trong thành phần agent của Ivanti Endpoint Manager. Điểm CVSS của CVE-2025-10918 là 7.1, được phân loại là mối đe dọa có mức độ nghiêm trọng cao.

Cơ chế khai thác và Tác động của CVE-2025-10918

Lỗ hổng CVE-2025-10918 cho phép kẻ tấn công cục bộ đã xác thực thực hiện ghi các tệp tùy ý trên toàn bộ đĩa hệ thống. Điều này tiềm ẩn nguy cơ nghiêm trọng, có thể làm tổn hại tính toàn vẹn của hệ thống và tạo điều kiện cho các cuộc tấn công tiếp theo.

Khả năng ghi tệp tùy ý (arbitrary file write) là một lỗ hổng nguy hiểm. Nó có thể dẫn đến việc cài đặt mã độc, leo thang đặc quyền (privilege escalation) hoặc thậm chí chiếm quyền điều khiển hoàn toàn hệ thống. Kẻ tấn công có thể ghi các tệp cấu hình độc hại, thay thế các tệp thực thi hợp pháp, hoặc chèn các tập lệnh thực thi mã từ xa.

Phân tích Vector CVSSv3.0

Lỗ hổng này sử dụng vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H. Phân tích chi tiết từng thành phần như sau:

• AV:L (Attack Vector: Local): Kẻ tấn công cần có quyền truy cập cục bộ vào hệ thống. Điều này có thể thông qua quyền truy cập vật lý hoặc thông qua một cuộc tấn công từ xa đã đạt được quyền truy cập ban đầu.
• AC:L (Attack Complexity: Low): Mức độ phức tạp của cuộc tấn công thấp. Kẻ tấn công không cần thực hiện các kỹ thuật phức tạp hay vượt qua các điều kiện đặc biệt để khai thác lỗ hổng.
• PR:L (Privileges Required: Low): Kẻ tấn công chỉ cần có đặc quyền thấp trên hệ thống để thực hiện khai thác. Điều này làm tăng phạm vi các tài khoản có khả năng khai thác.
• UI:N (User Interaction: None): Không yêu cầu người dùng tương tác để cuộc tấn công thành công. Điều này có nghĩa là lỗ hổng có thể được khai thác tự động mà không cần sự can thiệp của người dùng.
• S:U (Scope: Unchanged): Phạm vi bảo mật không thay đổi. Điều này có nghĩa là lỗ hổng chỉ ảnh hưởng đến các tài nguyên trong cùng một phạm vi bảo mật.
• C:N (Confidentiality Impact: None): Tác động đến tính bảo mật dữ liệu là không đáng kể. Lỗ hổng này không trực tiếp dẫn đến rò rỉ dữ liệu nhạy cảm.
• I:H (Integrity Impact: High): Tác động đến tính toàn vẹn dữ liệu là cao. Kẻ tấn công có thể thay đổi, xóa hoặc tạo các tệp trên hệ thống, ảnh hưởng nghiêm trọng đến hoạt động và tính tin cậy của dữ liệu.
• A:H (Availability Impact: High): Tác động đến tính khả dụng của hệ thống là cao. Kẻ tấn công có thể gây ra từ chối dịch vụ hoặc làm cho hệ thống không thể hoạt động được.

Lỗ hổng này được theo dõi dưới mã CWE-276, liên quan đến các vấn đề về quyền tệp mặc định không phù hợp (Improper Default Permissions). Đây là một điểm yếu phổ biến khi các quyền truy cập ban đầu không được cấu hình một cách an toàn, cho phép người dùng hoặc quy trình có đặc quyền thấp thay đổi các tệp quan trọng của hệ thống.

Để biết thêm chi tiết về lỗ hổng, có thể tham khảo NVD – CVE-2025-10918.

Các Lỗ hổng Khác và Bản vá Bảo mật

Ngoài CVE-2025-10918, hai lỗ hổng bổ sung là CVE-2025-9713 và CVE-2025-11622 cũng đã được khắc phục trong khuyến nghị này. Những vấn đề này đã được tiết lộ trước đó vào tháng 10 năm 2025 và đã được giải quyết hoàn toàn bằng bản vá bảo mật mới nhất.

Các Phiên bản bị ảnh hưởng và Giải pháp

Lỗ hổng ảnh hưởng đến các phiên bản Ivanti Endpoint Manager 2024 SU3 SR1 và các phiên bản cũ hơn. Để giải quyết tất cả các vấn đề đã xác định, Ivanti đã phát hành Endpoint Manager 2024 SU4.

Các tổ chức đang chạy các phiên bản Ivanti Endpoint Manager dễ bị tổn thương nên ưu tiên triển khai bản cập nhật 2024 SU4 ngay lập tức. Khả năng ghi tệp tùy ý trên hệ thống đặt ra một rủi ro bảo mật đáng kể, có thể dẫn đến việc cài đặt mã độc, leo thang đặc quyền và chiếm quyền điều khiển hệ thống hoàn toàn.

Quy trình cập nhật và Hỗ trợ

Các bản vá hiện có sẵn thông qua cổng tải xuống của Hệ thống Cấp phép Ivanti (ILS), yêu cầu xác thực người dùng. Ivanti khuyến nghị tất cả khách hàng nên truy cập cổng này và áp dụng các bản cập nhật cần thiết để bảo vệ hệ thống của mình.

Điều quan trọng cần lưu ý là Ivanti đã ngừng hỗ trợ cho nhánh phiên bản 2022 vào cuối tháng 10 năm 2025. Điều này có nghĩa là công ty sẽ không phát hành các bản vá cho các phiên bản đã hết hạn hỗ trợ (EOL). Người dùng bị ảnh hưởng bởi lỗ hổng và đang sử dụng phiên bản 2022 buộc phải nâng cấp lên phiên bản 2024 SU4 để giải quyết các vấn đề bảo mật này. Việc nâng cấp bắt buộc này nhấn mạnh tầm quan trọng của việc luôn giữ phần mềm được cập nhật.

Mặc dù Ivanti xác nhận rằng tại thời điểm công bố, công ty không nhận thấy bất kỳ khách hàng nào đang tích cực khai thác các lỗ hổng này, các tổ chức vẫn được khuyến nghị triển khai các bản vá càng sớm càng tốt để giảm thiểu rủi ro tấn công tiềm tàng. Việc chủ động cập nhật bản vá bảo mật là biện pháp phòng ngừa hiệu quả nhất.

Ivanti đã ghi nhận nhà nghiên cứu bảo mật Enrique Fernández Lorenzo (hay còn gọi là bighound) đã có trách nhiệm tiết lộ CVE-2025-10918 và hợp tác với công ty để bảo vệ khách hàng. Chính sách công bố lỗ hổng của công ty khuyến khích cộng đồng bảo mật báo cáo các vấn đề thông qua các kênh phù hợp. Thông tin chi tiết có thể được tìm thấy tại Ivanti Security Advisory EPM November 2025.

Việc duy trì các hệ thống Ivanti Endpoint Manager với các bản vá mới nhất là điều tối cần thiết để chống lại các mối đe dọa đang phát triển trong không gian mạng.