Ivanti phát hành bản vá cho loạt lỗ hổng nghiêm trọng trong ICS, IPS và EPMM

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
107
932 bài viết
Ivanti phát hành bản vá cho loạt lỗ hổng nghiêm trọng trong ICS, IPS và EPMM
WhiteHat Team
Ivanti vừa phát hành loạt bản vá bảo mật để xử lý nhiều lỗ hổng nghiêm trọng trong ba sản phẩm chủ lực gồm Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) và Ivanti Endpoint Manager Mobile (EPMM). Tổng cộng có tám lỗ hổng được ghi nhận, trong đó một số có thể bị lợi dụng để gây gián đoạn dịch vụ hoặc thực thi mã từ xa nếu không được khắc phục kịp thời. Dù chưa ghi nhận hoạt động khai thác trong thực tế, mức độ rủi ro vẫn được đánh giá cao do phạm vi ảnh hưởng rộng và tiềm năng bị kết hợp thành chuỗi tấn công phức tạp.

3.png

Lỗ hổng trong ICS và IPS đe dọa gây gián đoạn dịch vụ​

Theo khuyến cáo bảo mật mới nhất, các phiên bản ICS trước 22.7R2.8 và IPS trước 22.7R1.5 tồn tại sáu lỗ hổng mức độ trung bình, bao gồm lỗi kiểm soát truy cập, tràn bộ đệm, rò rỉ thông tin log, chèn ký tự dòng và SSRF. Cụ thể:
  • CVE‑2025‑5450: Lỗi kiểm soát truy cập trong quản lý chứng chỉ cho phép admin chỉ có quyền đọc vẫn có thể chỉnh sửa cấu hình hệ thống.
  • CVE‑2025‑5451: Tràn bộ đệm (stack-based buffer overflow), cho phép gây từ chối dịch vụ thông qua tài khoản quản trị đã xác thực.
  • CVE‑2025‑5463: Ghi thông tin nhạy cảm vào log, tạo điều kiện cho kẻ tấn công cục bộ truy cập dữ liệu nội bộ
  • CVE‑2025‑5464: Lỗi tương tự CVE‑2025‑5463 nhưng ảnh hưởng riêng tới ICS.
  • CVE‑2025‑0293: Lỗi chèn ký tự dòng (CLRF injection), cho phép ghi vào các tệp cấu hình vốn được bảo vệ
  • CVE‑2025‑0292: Tấn công Server-Side Request Forgery, trong đó quản trị viên từ xa có thể truy cập trái phép các dịch vụ mạng nội bộ thông qua các yêu cầu được định tuyến sai
Mặc dù các lỗ hổng trong ICS và IPS chỉ được đánh giá ở mức trung bình với điểm CVSS từ 4,9 đến 6,6, Ivanti vẫn khuyến cáo cập nhật khẩn cấp. Lý do là khi nhiều lỗ hổng cùng tồn tại trong hệ thống, kẻ tấn công có thể kết hợp chúng để mở rộng phạm vi khai thác, từ truy cập trái phép đến gây rò rỉ dữ liệu hoặc làm gián đoạn dịch vụ.

Lưu ý quan trọng: dòng sản phẩm Ivanti 9.x đã kết thúc vòng đời kể từ ngày 31/12/2024 và không còn nhận được bản vá. Các tổ chức vẫn đang sử dụng phiên bản này nên nâng cấp lên dòng 22.7 để đảm bảo hệ thống được bảo vệ trước các lỗ hổng mới được phát hiện.

Lỗi thực thi mã từ xa trong EPMM ở mức nghiêm trọng​

Bên cạnh các lỗ hổng trong ICS và IPS, Ivanti còn phát hiện hai lỗi nghiêm trọng khác trong sản phẩm Endpoint Manager Mobile (EPMM), với mức độ ảnh hưởng vượt trội và khả năng bị khai thác từ xa.
  • CVE-2025-6770: Lỗi chèn lệnh hệ điều hành (OS Command Injection). Do hệ thống xử lý đầu vào không an toàn, tin tặc có quyền cao có thể chèn lệnh độc hại và thực thi từ xa, tiềm ẩn nguy cơ bị chiếm quyền điều khiển hoặc cài mã độc vào hệ thống
  • CVE-2025-6771: Lỗi tương tự CVE-2025-6770, nằm ở một điểm gọi lệnh khác trong mã nguồn EPMM
Cả hai lỗ hổng đều được chấm điểm CVSS 7,2, phản ánh mức độ nghiêm trọng cao. Nếu bị khai thác, chúng có thể cho phép tin tặc thực thi mã độc trực tiếp trên thiết bị quản lý. Khi đó, toàn bộ hệ thống có nguy cơ bị chiếm quyền kiểm soát, rò rỉ dữ liệu nhạy cảm hoặc gián đoạn dịch vụ. Mức ảnh hưởng trải rộng trên ba yếu tố cốt lõi trong bảo mật thông tin gồm tính toàn vẹn, tính bảo mật và tính sẵn sàng của hệ thống.

Các lỗ hổng ảnh hưởng đến nhiều nhánh phiên bản của Ivanti Endpoint Manager Mobile, bao gồm:
  • Tất cả các bản từ 12.5.0.1 trở xuống
  • Tất cả các bản từ 12.4.0.2 trở xuống
  • Tất cả các bản từ 12.3.0.2 trở xuống
Để khắc phục, Ivanti đã phát hành các bản vá tương ứng là:
  • 12.5.0.2 cho nhánh 12.5.x
  • 12.4.0.3 cho nhánh 12.4.x
  • 12.3.0.3 cho nhánh 12.3.x
Tất cả bản vá hiện đã được cung cấp trên cổng tải chính thức của Ivanti.

Các tổ chức đang vận hành Ivanti Connect Secure, Policy Secure hoặc Endpoint Manager Mobile cần nhanh chóng rà soát phiên bản đang sử dụng và triển khai bản vá mới nhất. Việc chậm trễ trong cập nhật có thể tạo ra khe hở để kẻ tấn công khai thác chuỗi lỗ hổng, leo thang đặc quyền, chiếm quyền kiểm soát hệ thống hoặc làm gián đoạn hoạt động kinh doanh.

Trong bối cảnh các giải pháp quản lý truy cập và thiết bị đầu cuối ngày càng nằm trong tầm ngắm của các chiến dịch tấn công có chủ đích, Ivanti tiếp tục là nền tảng được giới tấn công và cộng đồng nghiên cứu bảo mật theo dõi sát sao. Để giảm thiểu rủi ro, doanh nghiệp cần thiết lập quy trình cập nhật định kỳ, kiểm soát chặt cấu hình hệ thống và giám sát nhật ký để phát hiện sớm các hành vi bất thường. Đây là những bước thiết yếu để giữ vững lớp phòng thủ trong môi trường hạ tầng ngày càng phức tạp và phân tán.

Theo Cyber Press và Cyber Security News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng zero-day trên Ivanti cho phép không cần xác thực hay tương tác từ người dùng
  • Lỗ hổng Ivanti Zero-day bị khai thác để triển khai mã độc TRAILBLAZE & BRUSHFIRE
  • Mã độc RESURGE khai thác lỗ hổng trong Ivanti với các tính năng Rootkit và Web Shell
  • Cảnh báo: Lỗ hổng vượt qua xác thực ảnh hưởng đến các sản phẩm của Ivanti
  • Ivanti cảnh báo về hai lỗ hổng zero-day đang bị khai thác
  • Giải pháp Ivanti Avalance bị ảnh hưởng bởi lỗi tràn bộ đệm ngăn xếp
    • Thẻ
    epmm ics ips ivanti ivanti connect secure ivanti endpoint manager mobile policy secure
    Bên trên