Ivanti: Kritische Codeschmuggel-LĂĽcken in VPN und CSA
In Ivantis VPN-Software ICS, IPS und ISAC sowie in Ivanti CSA klaffen kritische Sicherheitslecks. Angreifer können Schadcode unterjubeln.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Ivanti warnt vor mehreren, teils kritischen Sicherheitslücken in der VPN-Software Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC) sowie in Ivanti Cloud Services Application (CSA). Angreifer können die Schwachstellen etwa zum Einschleusen von Schadcode missbrauchen, erklärt das Unternehmen.
Eine Sicherheitsmitteilung von Ivanti listet die Schwachstellen in ICS, IPS und ISAC auf. Am schwerwiegendsten ist demnach ein Stack-basierter Pufferüberlauf, der angemeldeten Nutzern aus der Ferne das Ausführen beliebigen Codes ermöglicht (CVE-2025-22467, CVSS 9.9, Risiko "kritisch"). Details zu der Lücke, etwa wie bösartige Akteure sie ausnutzen können, erörtert Ivanti nicht.
Weitere kritische LĂĽcken
Außerdem können angemeldete Nutzer mit Admin-Rechten durch extern kontrollierbare Dateinamen beliebige Dateien schreiben (CVE-2024-38657, CVSS 9.1, kritisch). Auf nicht näher genanntem Weg können Angreifer zudem Code einschleusen (CVE-2024-10644, CVSS 9.1, kritisch).
Betroffen von diesen und weiteren Schwachstellen, die die Sicherheitsmitteilung auflistet (CVE-2024-13813, CVSS 7.1, hoch; CVE-2024-12058, CVSS 6.8, mittel; CVE-2024-13830, CVSS 6.1, mittel; CVE-2024-13842, CVE-2024-13843, beide CVSS 6.0, mittel), sind Ivanti Connect Secure (ICS) vor Version 22.7R2.6, Ivanti Policy Secure (IPS) vor 22.7R1.3 und Ivanti Secure Access Client (ISAC) vor 22.8R1.
Kritische LĂĽcke in Cloud Services Application
Zudem warnt Ivanti vor einer kritischen Sicherheitslücke in der Cloud Services Application (CSA). Authentifizierte Angreifer mit Admin-Rechten können Befehle ans Betriebssystem durchschleusen und so beliebigen Schadcode einschmuggeln und ausführen (CVE-2024-47908, CVSS 9.1, kritisch). Außerdem können Angreifer ohne vorherige Anmeldung eine Path-Traversal-Lücke ausnutzen, um auf zugriffsbeschränkte Funktionen zuzugreifen (CVE-2024-11771, CVSS 5.3, mittel). Ivanti CSA 5.0.5 dichtet diese Sicherheitslücken ab.
Ivanti schreibt, dass dem Unternehmen bislang kein Missbrauch dieser Schwachstellen im Netz bekannt ist. Dennoch sollten IT-Verantwortliche aufgrund der doch gravierenden Bedrohungseinstufungen die Aktualisierungen so rasch wie möglich herunterladen und installieren.
Sicherheitslecks in Ivanti-Produkten stehen bei Cyberkriminellen hoch im Kurs. Anfang Januar haben etwa bösartige Akteure eine Codeschmuggel-Lücke in Ivanti Connect Secure missbraucht, um Netzwerke zu kompromittieren.
(dmk)