Wprowadzenie do problemu / definicja luki
Ivanti i Zoom opublikowały aktualizacje bezpieczeństwa usuwające szereg luk o wysokiej ważności. W Ivanti Endpoint Manager (EPM) załatano m.in. podatności umożliwiające zapis/wykreowanie dowolnych plików, eskalację uprawnień oraz — w niektórych scenariuszach — zdalne wykonanie kodu. Zoom opublikował dziewięć biuletynów, w tym trzy luki o wysokiej ważności w klientach mobilnych oraz VDI dla Windows (eskalacja uprawnień), a także kilka średniej ważności (ujawnienie informacji, XSS).
W skrócie
- Ivanti EPM: trzy istotne CVE — CVE-2025-9713 (path traversal → RCE), CVE-2025-11622 (insecure deserialization → RCE) i CVE-2025-10918 (domyślne, zbyt szerokie uprawnienia → dowolny zapis plików / EoP). Dotyczy wersji przed 2024 SU4. Brak sygnałów o exploitach „in the wild”.
- Zoom: dziewięć biuletynów; luki o wysokiej ważności to CVE-2025-62484 (klienci Zoom Workplace – złożoność wyrażeń regularnych → EoP), CVE-2025-64741 (Android – nieprawidłowe autoryzacje → EoP) i CVE-2025-64740 (VDI Client for Windows – weryfikacja podpisu kryptograficznego → EoP).
- Kontekst: dwie z luk Ivanti (CVE-2025-9713 i CVE-2025-11622) nagłośniono już w październiku po tym, jak ZDI ujawniło 13 niezałatanych problemów w EPM; Ivanti obiecało poprawki na listopad i je dostarczyło.
Kontekst / historia / powiązania
W październiku 2025 Trend Micro Zero Day Initiative (ZDI) opublikowało serię 13 poradników dotyczących 0-dayów w Ivanti EPM (głównie RCE i EoP), eskalując sprawę z powodu opóźnień w łataniu. Ten kontekst tłumaczy, dlaczego listopadowy pakiet Ivanti ma tak „skondensowany” charakter i obejmuje wcześniej ujawnione podatności.
Równolegle Zoom w 2025 roku miał już kilka głośnych poprawek (m.in. krytyczna luka CVE-2025-49457 w kliencie Windows w sierpniu). Najnowszy zestaw z 11 listopada 2025 r. porządkuje bezpieczeństwo nowych aplikacji Zoom Workplace (w tym VDI i mobile).
Analiza techniczna / szczegóły luki
Ivanti Endpoint Manager (EPM)
- CVE-2025-9713 – Path Traversal → możliwe RCE
Słabość walidacji ścieżek umożliwia zapisywanie/odczyt plików poza katalogami docelowymi. W połączeniu z innymi wektorami może prowadzić do zdalnego wykonania kodu w kontekście usługi/agentów EPM. Dotyczy wydań przed 2024 SU4. - CVE-2025-11622 – Insecure Deserialization → RCE
Niezaufane obiekty mogą zostać zdeserializowane po stronie serwera/agentów, co pozwala atakującemu wstrzyknąć ładunek prowadzący do wykonania kodu. - CVE-2025-10918 – Insecure Default Permissions → dowolny zapis plików / EoP
Domyślne uprawnienia agenta EPM umożliwiają nadpisanie lub stworzenie plików systemowych przez lokalnego, uwierzytelnionego użytkownika i „podniesienie” się do konta o wyższych uprawnieniach. Ivanti wskazuje, że nie ma dowodów na aktywne wykorzystanie.
Uwaga operacyjna: Dwie pierwsze luki (9713, 11622) są kontynuacją październikowych ujawnień ZDI i zostały oficjalnie załatane w gałęzi 2024 SU4, zgodnie z zapowiedzią z października.
Zoom (Workplace / VDI / Mobile)
- CVE-2025-62484 – „Inefficient Regular Expression Complexity” → EoP
Wadliwy parser (reguły regex) może powodować nadmierne zużycie zasobów i prowadzić do scenariuszy eskalacji uprawnień (np. gdy komponent działa z wyższymi uprawnieniami). Poprawka dostępna w Zoom Workplace Clients 6.5.10 i nowszych. - CVE-2025-64741 – Improper Authorization Handling (Android) → EoP
Błędne egzekwowanie autoryzacji w aplikacji mobilnej Zoom na Androida może umożliwić lokalnemu atakującemu uzyskanie wyższych uprawnień w aplikacji. - CVE-2025-64740 – Improper Verification of Cryptographic Signature (VDI for Windows) → EoP
Niewystarczająca weryfikacja podpisów kryptograficznych w Zoom Workplace VDI Client for Windows umożliwia manipulację procesem instalacji/aktualizacji i wykonanie kodu z uprawnieniami systemowymi. Wymaga lokalnego dostępu, ale skutki są poważne (SYSTEM/Administrator).
Praktyczne konsekwencje / ryzyko
- Ivanti EPM
- Ryzyko trwałej persystencji przez droppery/serwisy, jeśli atakujący uzyska możliwość zapisu w ścieżkach systemowych (CVE-2025-10918).
- RCE po złożeniu kilku primitywów (path traversal + niebezpieczna deserializacja) — szczególnie groźne w środowiskach, gdzie serwer EPM zarządza tysiącami agentów.
- Potencjał lateral movement (dystrybucja payloadu jako „zadanie” EPM).
- Zoom
- Eskalacja uprawnień lokalnych na stacjach VDI/VDI-pluginach i endpointach użytkowników (Windows/macOS/Linux), co często wystarcza do kradzieży danych uwierzytelniających, dodania konta admina lub wdrożenia narzędzi LPE → C2.
- Luki średniej ważności (m.in. ujawnienie informacji, XSS) mogą ułatwić post-exploitation, fingerprinting systemu i przygotowanie ataku ukierunkowanego.
Rekomendacje operacyjne / co zrobić teraz
1) Patchowanie priorytetowe
- Ivanti EPM
- Aktualizuj do EPM 2024 SU4 (lub nowszej) na serwerach i agentach. Zgodnie z komunikatem listopadowym Ivanti — brak dowodów na aktywne wykorzystanie, ale wektor jest poważny.
- Zoom
- Zaimplementuj wersje wskazane w biuletynach: Workplace Clients ≥ 6.5.10, VDI Client for Windows (zestaw wersji naprawczych wg ZSB-25042), Android/iOS zgodnie z ZSB. Zaplanuj wymuszoną aktualizację w MDM/Intune/Jamf.
2) Kontrole detekcyjne (przykłady)
- Windows – polowanie na nietypowe zapisy w ścieżkach systemowych (EPM/LPE):
# Wyszukaj ostatnie 48h modyfikacji krytycznych plików przez procesy EPM/niepodpisane Get-WinEvent -LogName Security -FilterHashtable @{Id=4663; StartTime=(Get-Date).AddHours(-48)} | Where-Object { $_.Properties[8].Value -match 'C:\\Windows\\(System32|SysWOW64)|C:\\ProgramData' } | Where-Object { $_.Properties[5].Value -match 'LDMS|EPM|Ivanti|unknown' } | Select TimeCreated, @{n="Obj";e={$_.Properties[6].Value}}, @{n="Proc";e={$_.Properties[1].Value}} - EDR/SIEM – podejrzane uruchomienia instalatorów Zoom z nietypowych lokalizacji (CVE-2025-64740):
- Reguła (Sigma-like):
process_name: (ZoomVDI*.msi OR Zoom*.exe) AND parent: (msiexec.exe) AND image_path NOT IN (%ProgramFiles%, %SystemRoot%) AND signature_status: "invalid" OR "missing".
- Reguła (Sigma-like):
- Linux/macOS – fingerprint wersji Zoom:
# Linux zoom --version 2>/dev/null || dpkg -l | grep -i zoom # macOS /Applications/zoom.us.app/Contents/MacOS/Zoom --version 2>/dev/null strings "/Library/Application Support/Zoom/ZoomDaemon" | grep -i "Version" - Inwentarz agentów EPM (PowerShell, WMI/Registry):
Get-ItemProperty 'HKLM:\SOFTWARE\Ivanti\ManagementSuite\Agent' | Select-Object ComputerName, AgentVersion, Build, InstallDate
3) Twardnienie konfiguracji
- Ivanti EPM
- Wymuś Least Privilege dla kont serwisowych EPM; izoluj katalogi robocze agentów (ACL z wyraźnym „deny” dla zwykłych użytkowników).
- Segmentacja sieci i TLS mTLS między serwerem EPM a agentami.
- Włącz dodatkowe walidacje ładunków w zadaniach dystrybucji (hashy, podpisów).
- Zoom
- Zablokuj uruchamianie instalatorów z katalogów tymczasowych/Użytkownika (AppLocker/WDAC, SRP).
- W VDI kontroluj golden image, podpisy i łańcuch aktualizacji; integruj z MDM/EMM dla mobile.
4) Reagowanie / weryfikacja ekspozycji
- Sprawdź, czy w organizacji występują wersje EPM < 2024 SU4 oraz klienci Zoom < 6.5.10/stare VDI. Zdefiniuj SLA: krytyczne systemy – 72 h; reszta – 7 dni.
- Przegląd logów z ostatnich 30 dni pod kątem: nietypowego zapisu plików w katalogach systemowych, anomalii instalatora Zoom, nagłych restartów usług EPM.
Różnice / porównania z innymi przypadkami (dla studentów i SOC)
- EPM vs. EPMM/Neurons: opisywane tu luki dotyczą Endpoint Manager (on-prem), a nie (głośnych w przeszłości) podatności w Endpoint Manager Mobile (EPMM) wykorzystywanych „na żywo”. Mechanika ataku i powierzchnia są inne.
- Zoom „krytyczne” z sierpnia vs. „wysokie” z listopada: w sierpniu mieliśmy CVE-2025-49457 (krytyczne, untrusted search path, Windows), obecny zestaw to głównie lokalne EoP i problemy integralności (wysoka waga, ale mniejsza zdalność).
Podsumowanie / kluczowe wnioski
- Patch teraz: EPM do 2024 SU4; Zoom do wersji z biuletynów z 11.11.2025 (Workplace ≥ 6.5.10, odpowiednie wydania VDI/Android).
- Włącz detekcję LPE: szukaj nietypowych zapisów plików, anomalii instalatora i braków podpisów.
- Twardnij łańcuch aktualizacji (podpisy, WDAC/AppLocker, kontrola źródeł instalacji).
- Kontekst ZDI: listopadowe łatki Ivanti nadrabiają część 13 ujawnionych w październiku problemów — nie odwlekaj wdrożenia.
Źródła / bibliografia
- SecurityWeek: „High-Severity Vulnerabilities Patched by Ivanti and Zoom” (12 listopada 2025). (SecurityWeek)
- Ivanti: „November 2025 Security Update” (11 listopada 2025). (Ivanti)
- Zoom: strona Security Bulletins (ZSB-25048/43/42 i inne; 11 listopada 2025). (Zoom)
- SecurityWeek: „ZDI drops 13 unpatched Ivanti Endpoint Manager vulnerabilities” (10 października 2025). (SecurityWeek)
- eSecurity Planet: „Critical Zoom Vulnerability Exposes Windows Users to Attacks” – kontekst techniczny CVE-2025-64740 (11 listopada 2025). (eSecurity Planet)
