48 3052-8500

CVE-2025-10918, CVE-2025-9713 e CVE-2025-11622: Vulnerabilidades no Ivanti EPM permitem execução de código, modificação de arquivos e escalonamento de privilégios - OSTEC | Segurança digital de resultados

CVE 3min de Leitura - 13 de novembro de 2025

CVE-2025-10918, CVE-2025-9713 e CVE-2025-11622: Vulnerabilidades no Ivanti EPM permitem execução de código, modificação de arquivos e escalonamento de privilégios

CVE-2025-10918-CVE-2025-9713-CVE-2025-11622

This post is also available in: Português

A Ivanti, fornecedora global de soluções para gerenciamento e segurança de endpoints, emitiu alertas sobre três vulnerabilidades de alta severidade que afetam o Ivanti Endpoint Manager (EPM), identificadas como CVE-2025-10918, CVE-2025-9713 e CVE-2025-11622. Todas as falhas foram corrigidas na versão 2024 SU4, mas podem representar sérios riscos para organizações que ainda utilizam versões anteriores.

Essas vulnerabilidades abrangem diferentes tipos de ameaça, desde permissões inseguras e travessia de diretórios (path traversal) até desserialização insegura, permitindo que invasores gravem arquivos arbitrários, executem código remotamente ou elevem privilégios localmente.

A combinação desses vetores de ataque aumenta significativamente a probabilidade de comprometimento completo de sistemas gerenciados pelo EPM.

Ivanti Endpoint Manager: um alvo estratégico para atacantes

O Ivanti Endpoint Manager é amplamente utilizado por empresas de médio e grande porte para centralizar o gerenciamento de dispositivos, automatizar implantações, distribuir patches e manter a conformidade de endpoints. Por integrar-se diretamente à infraestrutura corporativa e operar com altos privilégios administrativos, o EPM torna-se um alvo atrativo para cibercriminosos.

Historicamente, ferramentas de gerenciamento remoto, como as da Ivanti, têm sido exploradas em campanhas de ataques em cadeia de suprimentos, movimentação lateral em redes corporativas e ransomware direcionado. Portanto, falhas como as reportadas em novembro de 2025 requerem atenção imediata.

CVE-2025-10918: Permissões padrão inseguras permitem gravação arbitrária de arquivos

A vulnerabilidade CVE-2025-10918, classificada com pontuação CVSS 7.1, é resultado de permissões padrão incorretas (CWE-276) no agente do Ivanti Endpoint Manager.

Em versões anteriores à 2024 SU4, o agente do EPM atribuía permissões inadequadas a diretórios críticos, possibilitando que um usuário local autenticado gravasse ou substituísse arquivos arbitrários em qualquer local do sistema.

Esse tipo de falha abre espaço para múltiplos cenários de ataque, como:

  • inserção de scripts maliciosos que são executados automaticamente pelo serviço do EPM;
  • substituição de executáveis legítimos, resultando em persistência ou execução de malware com privilégios elevados;
  • manipulação de arquivos de configuração para desabilitar controles de segurança.

Embora o ataque exija autenticação local, o impacto pode ser severo. Em ambientes onde usuários comuns compartilham máquinas administradas, um invasor pode explorar a falha para preparar o terreno para um escalonamento de privilégios ou para implantar código malicioso de difícil detecção.

CVE-2025-9713: Path Traversal permite execução remota de código com interação do usuário

A CVE-2025-9713 é a mais crítica entre as três, com pontuação CVSS 8.8, e está associada ao CWE-22 (Path Traversal).

O defeito permite que um atacante remoto não autenticado explore a estrutura de diretórios do EPM para escapar dos limites permitidos e grave ou execute arquivos em locais indevidos do sistema, desde que haja interação do usuário. Essa interação pode ocorrer, por exemplo, ao abrir um anexo aparentemente legítimo, clicar em um link malicioso ou interagir com uma interface web comprometida.

O resultado é a execução remota de código (RCE), o que concede ao invasor controle total sobre o endpoint afetado. Em um cenário real, a exploração dessa falha pode levar à instalação de backdoors, ao sequestro de dados e até ao comprometimento de toda a infraestrutura gerenciada pelo Ivanti Endpoint Manager.

Relatórios técnicos, como os divulgados pela ZeroPath e pela Wiz.io, apontam que essa vulnerabilidade pode ser explorada em conjunto com outros bugs para realizar ataques em cadeia, especialmente em ambientes corporativos que utilizam o EPM em larga escala.

CVE-2025-11622: Desserialização insegura permite escalonamento de privilégios locais

A vulnerabilidade CVE-2025-11622 (pontuação CVSS 7.8) está relacionada à desserialização insegura (CWE-502). Ela ocorre quando o Ivanti Endpoint Manager processa objetos serializados sem validar adequadamente sua origem ou estrutura, permitindo que um invasor local autenticado injete dados maliciosos capazes de executar comandos arbitrários com privilégios elevados.

Esse tipo de falha é particularmente perigoso porque, mesmo exigindo acesso local, pode ser usado como segunda etapa em uma cadeia de ataque. Por exemplo, um invasor que explore a CVE-2025-10918 para modificar arquivos pode, em seguida, usar a CVE-2025-11622 para obter privilégios administrativos completos.

Em contextos corporativos, a exploração dessa vulnerabilidade pode permitir a manipulação de processos de atualização, a desativação de agentes de segurança ou o acesso a dados sensíveis armazenados nos endpoints.

Impacto combinado e importância da atualização imediata

Apesar de cada uma das falhas representar um vetor distinto, juntas elas criam um cenário de risco elevado. Um invasor determinado pode combinar as vulnerabilidades para:

  • obter acesso local (por engenharia social ou credenciais comprometidas);
  • manipular arquivos e configurações (CVE-2025-10918);
  • elevar privilégios (CVE-2025-11622);
  • e, potencialmente, executar código remotamente (CVE-2025-9713).

Essa sequência pode resultar em controle total dos endpoints, instalação de backdoors e movimentação lateral dentro da rede corporativa.

A Ivanti reforçou em seus comunicados oficiais que os patches corretivos foram incluídos na versão EPM 2024 SU4, disponível no portal de suporte. A aplicação imediata da atualização é considerada prioridade crítica.

Além do patch, a empresa recomenda práticas adicionais: revisão das permissões de diretórios, auditoria de usuários locais, segmentação de rede e limitação de acesso administrativo.

Considerações finais

As vulnerabilidades CVE-2025-10918, CVE-2025-9713 e CVE-2025-11622 demonstram, mais uma vez, a importância da gestão contínua de vulnerabilidades e da manutenção de soluções críticas sempre atualizadas.

Ferramentas como o Ivanti Endpoint Manager, embora essenciais para a operação e segurança, também podem se transformar em pontos de entrada privilegiados para atacantes quando negligenciadas. A correção rápida, aliada a boas práticas de defesa em profundidade, é o único caminho seguro para evitar que vulnerabilidades conhecidas se tornem portas abertas dentro do ambiente corporativo.

This post is also available in: Português

CVE-2025-21042: Vulnerabilidade crítica em dispositivos Samsung Mobile permite execução remota de código

Postagem anterior