Perusahaan perangkat lunak asal Amerika Serikat, Ivanti, mengeluarkan peringatan kepada pelanggan terkait kerentanan baru yang ditemukan pada solusi Endpoint Manager (EPM). Celah ini memungkinkan penyerang mengeksekusi kode secara remote dan berpotensi mengancam ribuan organisasi di seluruh dunia.
Detail Kerentanan
Kerentanan yang dilacak sebagai CVE-2025-10573 dapat dieksploitasi oleh aktor ancaman tanpa autentikasi melalui serangan cross-site scripting berkompleksitas rendah yang membutuhkan interaksi pengguna.
Menurut peneliti keamanan Rapid7, Ryan Emmons, penyerang dapat menambahkan endpoint palsu ke server EPM untuk menyuntikkan JavaScript berbahaya ke dasbor administrator. Saat administrator membuka antarmuka yang telah terkontaminasi, kode jahat akan dijalankan secara otomatis, memberi kendali penuh atas sesi administrator kepada penyerang.
Respons Ivanti
Ivanti telah merilis pembaruan EPM 2024 SU4 SR1 untuk menutup celah ini. Perusahaan menekankan bahwa risiko seharusnya berkurang signifikan karena EPM tidak dirancang untuk terekspos langsung ke internet.
Namun, data dari platform pemantauan Shadowserver menunjukkan ratusan instance EPM yang dapat diakses publik, dengan jumlah terbesar berada di Amerika Serikat (569), Jerman (109), dan Jepang (104).
Kerentanan Lain yang Ditangani
Selain CVE-2025-10573, Ivanti juga merilis pembaruan keamanan untuk tiga kerentanan dengan tingkat keparahan tinggi. Dua di antaranya, CVE-2025-13659 dan CVE-2025-13662, memungkinkan eksekusi kode arbitrer oleh penyerang tanpa autentikasi pada sistem yang belum ditambal.
Eksploitasi hanya dapat berhasil jika target terhubung ke server inti yang tidak terpercaya atau mengimpor file konfigurasi berbahaya. Ivanti menegaskan belum ada bukti eksploitasi aktif sebelum pengungkapan publik.
Riwayat Eksploitasi EPM
Kerentanan pada Ivanti EPM sebelumnya sering menjadi target serangan. Pada Maret 2024, CISA menandai tiga celah kritis (CVE-2024-13159, CVE-2024-13160, CVE-2024-13161) sebagai kerentanan yang telah dieksploitasi dan memerintahkan lembaga federal AS untuk menambalnya dalam waktu tiga minggu.
Kemudian pada Oktober 2024, CISA kembali menginstruksikan agar instansi pemerintah segera memperbaiki celah lain yang aktif dieksploitasi, yaitu CVE-2024-29824.
Rekomendasi
Administrator sistem disarankan segera memperbarui Ivanti EPM ke versi terbaru dan memastikan sistem tidak terekspos langsung ke internet. Langkah ini penting untuk mencegah potensi serangan yang memanfaatkan kerentanan kritis maupun tinggi yang baru saja diungkapkan.