Ivanti Endpoint Manager: Exploit für kritische Lücke aufgetaucht
Ein Proof-of-Concept-Exploit für eine kritische Lücke in Ivanti Endpoint Manager ist aufgetaucht. Zudem gibt es ein Update für den Hotfix.
(Bild: Sashkin/Shutterstock.com)
Ende Mai wurden teils kritische Sicherheitslücken in Ivantis Endpoint Manager (EPM) bekannt. Inzwischen haben IT-Sicherheitsforscher einen Proof-of-Concept-Exploit für eine davon veröffentlicht. Zudem war der bisher verfügbare Hotfix fehlerhaft, sodass Ivanti eine fehlerbereinigte Version nachgelegt hat.
In der Geräteverwaltungssoftware Endpoint Manager von Ivanti konnten Angreifer sechs als kritisch eingestufte Sicherheitslücken als Einfallstor ins Netzwerk missbrauchen. Eine der SQL-Injection-Sicherheitslücken, die Angreifern das Einschleusen von Schadcode aus der Ferne ermöglicht, haben die IT-Forscher von horizon3.ai genauer untersucht, CVE-2024-29824. Dabei haben sie ein Skript erstellt, das den Missbrauch der Schwachstelle automatisiert und demonstriert, ein sogenannter Proof-of-Concept-Exploit (PoC).
Spätestens jetzt Ivanti EPM aktualisieren!
Cyberkriminelle nehmen derartige PoCs oftmals sehr schnell in ihre Werkzeugkästen auf. Daher sind Angriffe durch Ausnutzen der Lücke jetzt sehr wahrscheinlich geworden. IT-Verantwortliche sollten daher den von Ivanti bereitgestellten Hotfix gemäß Anleitung herunterladen und anwenden. Wer das bereits erledigt hat, könnte noch einmal an die Installation ran müssen: Der erste Hotfix hatte einen Fehler und störte die Sammlung von Daten.
In der aktualisierten Schwachstellenmitteilung von Ivanti schreiben die Entwickler: "Ein Problem mit der PatchBiz.dll aus diesem Patch wurde erkannt. Das Advisory stört die Funktion 'Gather Historical Data'". Der Download-Link wurde am Mittwoch vergangener Woche aktualisiert und weise auf eine neue Datei.
In dem ZIP-Archiv sind aktualisierte DLLs enthalten, mit denen Admins die vorhandenen und fehlerhaften Versionen ersetzen müssen. Danach ist ein Server-Neustart, oder, sofern der nicht möglich ist, ein "IISRESET" nach dem Schließen der EPM-Konsole nötig, da sonst die korrigierten DLLs nicht geladen werden.
Der Hotfix ist ausschließlich für EPM 2022 SU5 gedacht. Mit einer künftigen Version des Endpoint Managers will Ivanti die CVEs korrekt schließen.
(dmk)