CVE-2025-10573 - Ivanti EPM 비인증 XSS 세션 탈취 취약점

Ivanti EPM 비인증 XSS 세션 탈취 취약점

CVE-2025-10573은 Ivanti Endpoint Manager(EPM)에서 인증 없이 악성 스크립트를 주입할 수 있고, 관리자가 대시보드를 열람하는 것만으로 세션 탈취가 가능한 고위험 취약점이다.

취약점은 스토어드 XSS 구조이며, 관리 권한을 탈취할 경우 엔드포인트·서버·소프트웨어 배포 체계 전체가 공격자 통제 하에 놓일 수 있다.

핵심 위험 요약
• 비인증 상태에서 공격 시작 가능
• 관리자 UI 열람만으로 공격 트리거 발생
• 관리자 권한 탈취 시 조직 전체 관리 영역 확산 가능
• 즉시 패치 미적용 시 고위험 상태 유지

1️⃣ 취약점 기본 정보

항목	내용
CVE	CVE-2025-10573
제품	Ivanti Endpoint Manager (EPM)
취약점 유형	Stored Cross-Site Scripting
인증 필요 여부	불필요
CVSS	9.6 (High)
영향	관리자 세션 탈취 및 권한 장악
패치 버전	EPM 2024 SU4 SR1

2️⃣ 오류 발생 원인

취약점의 근본 원인은 외부에서 전달되는 엔드포인트 스캔 데이터가 입력 검증 없이 저장되고, 해당 데이터가 관리자 UI에 그대로 렌더링되는 구조에 있다.

원인 요약
• incomingdata API가 비신뢰 입력을 수용
• key=value 형식 데이터에 스크립트 삽입 가능
• 저장된 값이 관리자 UI에서 HTML 인코딩 없이 출력
• Stored XSS 조건 충족

3️⃣ 공격 흐름 분석

① 비인증 상태에서 EPM 웹 서비스 접근
② 가짜 관리 엔드포인트 등록
③ 스캔 데이터 필드에 악성 스크립트 삽입
④ 관리자가 대시보드 조회
⑤ 브라우저에서 스크립트 실행
⑥ 관리자 세션 탈취 → 권한 장악

관리자가 별도 행위를 하지 않아도, 단순한 대시보드 열람만으로 공격이 발동된다는 점이 실제 위험도를 크게 높인다.

4️⃣ 영향 범위 및 위험도 평가

Ivanti EPM은 조직의 엔드포인트, 서버, 패치 및 소프트웨어 배포를 중앙에서 제어하는 핵심 관리 시스템이다.

예상 영향
• 엔드포인트 제어권 탈취
• 악성 코드 대량 배포 가능
• 내부 서버 접근 확대
• 조직 전반의 보안 신뢰 붕괴

5️⃣ 즉시 조치 및 복구 절차

즉각 수행 권고
• Ivanti EPM 최신 보안 패치 적용
• 관리 포털 인터넷 노출 여부 점검 및 차단
• 관리자 계정 2단계 인증 적용
• 접근 IP 제한 및 관리망 분리
• 최근 생성된 엔드포인트·스캔 데이터 점검

6️⃣ 7️⃣ 기본 오류 대응 4단계

① 탐지
비정상 엔드포인트 등록, 스캔 데이터 이상 문자열 점검

② 차단
관리 포털 외부 접근 제한, 의심 계정 세션 강제 종료

③ 조치
취약 버전 패치, 악성 데이터 제거, 계정 비밀번호 변경

④ 사후관리
관리자 접근 로그 분석, 재발 방지 정책 수립

7️⃣ 결론

CVE-2025-10573은 단순 XSS를 넘어 관리자 권한 탈취로 직결되는 구조적 취약점이다. 사용자 상호작용이 필요하다는 이유로 위험을 과소평가해서는 안 되며, Ivanti EPM을 사용하는 조직은 즉시 패치를 적용하고 관리 포털 보안을 재점검해야 한다.