Padtraversering in Ivanti Endpoint Manager vóór versie 2024 SU4 SR1 stelt een externe geauthenticeerde aanvaller in staat om willekeurige bestanden buiten de bedoelde directory te schrijven. Gebruikersinteractie is vereist.

Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan gebruik maken van de kwetsbaarheid om gevoelige systeembestanden te overschrijven, malware te installeren of de integriteit van het systeem te compromitteren. De mogelijkheid om willekeurige bestanden te schrijven, opent de deur naar een breed scala aan aanvallen, waaronder het verkrijgen van ongeautoriseerde toegang tot data, het uitvoeren van code met verhoogde privileges en het verstoren van de normale werking van het systeem. De vereiste voor authenticatie beperkt de impact tot gebruikers met geldige inloggegevens, maar de potentiële schade blijft significant.

Organizations heavily reliant on Ivanti Endpoint Manager for device management and security are at significant risk. Environments with weak authentication controls or where user awareness training is lacking are particularly vulnerable. Shared hosting environments utilizing Ivanti Endpoint Manager should also be considered high-risk due to the potential for cross-tenant exploitation.

• windows / supply-chain:

Get-WinEvent -LogName Security -Filter "EventID = 4663 and SubjectUserName -like '*attacker*'" | sls

• windows / supply-chain:

Get-Process | Where-Object {$_.Path -like "*\ivanti*"} | Select-Object ProcessName, Path

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*ivanti*'}

1. 2025-12-09Disclosure

   disclosure

1. Gereserveerd2025-11-25
2. Gepubliceerd2025-12-09
3. Gewijzigd2026-02-26
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-13661 is het upgraden van Ivanti Endpoint Manager naar versie 2024 SU4 SR1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers die toegang hebben tot de kwetsbare functionaliteit. Implementeer strikte toegangscontroles en monitor de systeembestanden op onverwachte wijzigingen. Het configureren van een Web Application Firewall (WAF) kan helpen om kwaadaardige verzoeken te blokkeren die proberen de Path Traversal kwetsbaarheid te exploiteren. Er zijn momenteel geen specifieke Sigma- of YARA-patronen bekend voor deze specifieke kwetsbaarheid, maar algemene patronen voor Path Traversal detectie kunnen nuttig zijn.