Ivanti patcht zahlreiche Produkte
Ivanti hat Updates für mehrere Produkte veröffentlicht. Die Softwareflicken schließen teils kritische Sicherheitslücken.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Ivanti hat Sicherheitsupdates für mehrere Produkte veröffentlicht. Die damit geschlossenen Schwachstellen stellen teils ein kritisches Risiko dar. Admins sollten die verfügbaren Aktualisierungen daher rasch anwenden.
Am schlimmsten hat es Ivantis Cloud Services Application (CSA) getroffen. Angreifer aus dem Netz können ohne vorherige Anmeldung die Authentifizierung an der Admin-Web-Console umgehen und so administrativen Zugang erhalten (CVE-2024-11639, CVSS 10.0, Risiko "kritisch"). Angemeldete Nutzer aus dem Netz können zudem beliebigen Code aufgrund einer Befehlsschmuggel-Lücke einschleusen (CVE-2024-11772, CVSS 9.1, kritisch) oder beliebige SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle absetzen (CVE-2024-11773, CVSS 9.1, kritisch). Ivanti CSA 5.0.3 korrigiert diese Fehler.
Weitere kritische LĂĽcken in Ivanti-Software
Auch in Ivanti Connect Secure (ICS) und Ivanti Policy Secure (IPS) klaffen kritische Sicherheitslücken. Angemeldete Nutzer aus dem Netz können Argumente in ICS und in der Folge beliebigen Code einschleusen (CVE-2024-11633, CVSS 9.1, kritisch) oder selbiges aufgrund einer Befehlsschmuggel-Schwachstelle erreichen (CVE-2024-11634, CVSS 9.1, kritisch). Die Updates auf ICS 22.7R2.4 und IPS 22.7R1.2 schließen diese und drei weitere, als hochriskant eingestufte Schwachstellen. Teils sind auch die Versionszweige 9.1Rx von den Lücken betroffen – hierfür stellt Ivanti jedoch keine Patches bereit, da der Support dafür zum 31. Dezember ausläuft.
Nur knapp an der Risikoeinstufung "kritisch" schrammt eine Lücke in Ivanti Sentry vorbei. Aufgrund unsicherer Rechtevergabe können lokale authentifizierte Nutzer "sensible App-Komponenten" verändern (CVE-2024-8540, CVSS 8.8, hoch). Die Versionen 10.1.0, 10.0.2 und 9.20.2 beheben die sicherheitsrelevanten Fehler. Weiterhin bessert Ivanti Desktop and Server Management (DSM) 2024.3.5740 eine Schwachstelle aus, die Angreifern das Löschen beliebiger Dateien erlaubt (CVE-2024-7572, CVSS 7.1, hoch). Eine gleichartige Sicherheitslücke im Ivanti Patch SDK (CVE-2024-10256, CVSS 7.1, hoch) stopfen die Versionen
- Ivanti Endpoint Manager (EPM) 2024 November Update sowie 2022 SU6 November Security Update,
- Ivanti Security Controls (iSec) 2024.4 (9.6.9375.0),
- Ivanti Patch for Configuration Manager 2024.4 (2.5.1129.0),
- Ivanti Neurons for Patch Management 2024.4 (1.1.67.0) und schlieĂźlich
- Ivanti Neurons Agent Platform 2024.4 (9.6.839)
oder jeweils neuere Fassungen.
Zu allen Schwachstellenmitteilungen schreiben die Autoren, dass die Lücken nach derzeitigem Kenntnisstand bislang noch nicht in freier Wildbahn missbraucht werden. Die einzelnen, neu veröffentlichten Sicherheitsmitteilungen von Ivanti:
- Security Advisory Ivanti Cloud Services Application (CSA), max. CVSS 10.0, kritisch
- December 2024 Security Advisory Ivanti Connect Secure (ICS) and Ivanti Policy Secure (IPS), max. CVSS 9.1, kritisch
- Security Advisory Ivanti Sentry, CVSS 8.8, hoch
- Security Advisory Ivanti Desktop and Server Management (DSM), CVSS 7.1, hoch
- Security Advisory Ivanti Patch SDK, CVSS 7.1, hoch
Lesen Sie auch
Ivanti stopft ausgenutzte SicherheitslĂĽcken und mehr
(dmk)