Ivanti patcht Endpoint Manager, Avalanche, VPN- und NAC-Software

Ivanti hat Sicherheitsupdates für mehrere Produkte herausgegeben, die teils kritische Sicherheitslücken darin schließen. Administratorinnen und Administratoren sollten rasch handeln und die Aktualisierungen anwenden.

Am gravierendsten sind die Sicherheitslücken in der VPN- und NAC-Software von Ivanti, die die Entwickler in einer Sicherheitsmitteilung beschreiben. Sie betreffen Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC). Ein angemeldeter Angreifer aus dem Netz mit Admin-Zugang kann in Anfragen Argumente einschmuggeln und damit Schadcode einschleusen und ausführen (CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712; alle CVSS 9.1, Risiko "kritisch"). Zudem können sie das auch mit in Anfragen eingeschmuggelten Befehlen (CVE-2024-11007, CVE-2024-11006, CVE-2024-11005; alle CVSS 9.1, kritisch). Die Produkte sind von zahlreichen weiteren, als hohes Risiko eingestuften Schwachstellen betroffen.

Codeschmuggel-Lücken auch im Ivanti Endpoint Manager

Eine weitere Sicherheitsmitteilung von Ivanti listet Lücken im Endpoint Manager auf. Angreifer aus dem Netz können ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle zum Einschleusen von Schadcode missbrauchen (CVE-2024-50330, CVSS 9.8, kritisch). Außerdem können bösartige Akteure aus dem Netz ohne vorherige Anmeldung eine Path-Traversal-Lücke attackieren, was ebenfalls in der Ausführung von Code aus dem Netz führt. Hierfür ist jedoch eine Nutzerinteraktion nötig, was die Risikobewertung ganz knapp unter kritisch drückt (CVE-2024-50329, CVSS 8.8, hoch). Die aktualisierten Versionen schließen noch zahlreiche weitere, als hochriskant eingestufte Sicherheitslecks.

Für die Mobile-Device-Management-Software (MDM) Avalanche listet Ivanti fünf Sicherheitslücken mit einer Risikoeinschätzung als hoher Bedrohungsgrad auf. Sofern Angreifer die Lücken erfolgreich missbrauchen, können sie den Dienst für legitime Nutzer lahmlegen (Denial of Service) oder unbefugt auf sensible Informationen zugreifen. Das Problem löst Ivanti Avalanche in Version 6.4.6 oder neueren, die im Download-Portal unter der Wavelink-Domain verfügbar ist.

Ivanti behebt die sicherheitsrelevanten Fehler in den anderen Produkten mit den Versionen Ivanti Connect Secure (ICS) 22.7R2.3, Ivanti Policy Secure (IPS) 22.7R1.2 und Ivanti Secure Access Client (ISAC) 22.7R4. Die stehen im Ivanti-Portal zum Herunterladen bereit. Die aktualisierten Endpoint-Manager-Versionen stehen als Patch zum Herunterladen bereit, einmal die Version 2024 November Security Update und dann noch 2022 SU6 November Security Update.

Lesen Sie auch

Ivanti stopft ausgenutzte Sicherheitslücken und mehr

Anfang Oktober hat Ivanti bereits in freier Wildbahn angegriffene Sicherheitslecks in der Cloud Service Appliance (CSA) ausgebessert. Aber auch in der VPN-Software Connect Secure klafften kritische Lücken. Die Software des Anbieters ist Bestandteil vieler Werkzeugkisten von Cyberkriminellen. Daher sollten IT-Verantwortliche mit Ivanti-Software diese zügig auf den aktuellen Stand bringen und so die Angriffsfläche minimieren.

(dmk)