Ivanti: Updates gegen kritische Lecks im Endpoint Manager und weiteren Produkten
Ivanti bessert Schwachstellen in Endpoint Manager, Workspace Control und Cloud Service Appliance aus. Eine Lücke in EPM erreicht die Höchstwertung CVSS 10.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Ivanti hat teils kritische Sicherheitslücken in mehreren Produkten entdeckt. Updates zum Korrigieren der sicherheitsrelevanten Fehler stehen für Ivantis Endpoint Manager, Workspace Control und Cloud Service Appliance bereit. Eine Lücke in Ivantis Endpoint Manager erreicht die höchstmögliche Bedrohungseinstufung als kritisch mit einem CVSS-Wert 10.0.
Am schlimmsten hat es Ivantis Endpoint Manager (EPM) getroffen. Insgesamt 16 Sicherheitslücken korrigieren die bereitstehenden Aktualisierungen darin. Davon stufen Ivantis Entwickler zehn als kritisches Sicherheitsrisiko ein, zwei als hohes und vier als mittleres. Durch die gravierendste Lücke können Angreifer aus dem Netz ohne vorherige Authentifizierung Schadcode einschleusen, was auf die Deserialisierung von nicht vertrauenswürdigen Daten zurückzuführen ist (CVE-2024-29847, CVSS 10.0, Risiko "kritisch"). Die Versionen 2022 SU6 respektive das September-Update für EPM 2024 dichten diese Sicherheitslecks ab. Die Sicherheitsmeldung von Ivanti verlinkt auf die korrigierten Dateien und erläutert, wie sie zu installieren sind.
Ivanti: Weitere Produkte mit Sicherheitslücken
In der Cloud Service Appliance (CSA) meldet Ivanti eine weitere Schwachstelle. Am System angemeldete Angreifer können aufgrund einer Schwachstelle Befehle an das Betriebssystem einschleusen und dadurch aus dem Netz Schadcode einschmuggeln und ausführen (CVE-2024-8190, CVSS 7.2, hoch). Die Versionen CSA 4.6 Patch 519 sowie CSA 5.0 korrigieren die Probleme. Ivanti verlinkt Update-Anleitungen in der Sicherheitsmeldung.
Zudem warnt Ivanti vor sechs hochriskanten Sicherheitslecks in der Workspace-Control-Software (IWC). Davon stuft Ivanti abweichend von der CVSS-Bewertung einige offenbar als kritisch ein. Angreifer können nach Einschätzung von Ivantis Entwicklern ihre Rechte ausweiten und sich weiter im Netz fortbewegen ("lateral movement"). Sie schränken jedoch ein, dass IWC nicht dafür gedacht ist, im Internet erreichbar zu sein, und Angreifer dafür Admin-Rechte benötigten. Ivanti IWC 10.18.99.0 schließt die Sicherheitslücken, auch hier stellt Ivanti einen Link zu einer Upgrade-Anleitung bereit.
IT-Verantwortliche sollten die Aktualisierungen aufgrund des Schweregrads der Schwachstellen für alle betroffenen Produkte zügig installieren.
Zuletzt hatte Ivanti im August im Virtual Traffic Manager eine Sicherheitslücke geschlossen, durch die nicht authentifizierte Angreifer Admin-Konten anlegen und verwundbare Instanzen vollständig kompromittieren konnten. In den Monaten zuvor gab es zudem immer wieder auch Softwareflicken, um in Ivantis Endpoint Manager teils kritische Schwachstellen auszubessern. Für diese Lücken sind zudem Exploits aufgetaucht, die Cyberkriminelle in ihr Arsenal an Angriffswerkzeugen aufnehmen können.
(dmk)