Ivanti schließt unter anderem Admin-Lücke in Virtual Traffic Manager
Kritische Sicherheitslücken bedrohen Produkte von Ivanti. Noch sind keine Attacken bekannt. Noch sind nicht alle Updates verfügbar.
Schwachstellen bedrohen Appliances.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Angreifer können an mehreren Schwachstellen in Ivanti Avalanche, Neurons for ITSM oder Virtual Traffic Manager (vTM) ansetzen und Systeme im schlimmsten Fall vollständig kompromittieren. Ivanti versichert, dass ihnen derzeit keine Informationen über laufende Attacken vorliegen.
Admin-Lücke
Wie aus einer Warnmeldung hervorgeht, können entfernte Angreifer ohne Authentifizierung durch das erfolgreiche Ausnutzen einer "kritischen" Schwachstelle (CVE-2024-7593) in vTM Nutzer mit Admin-Rechten erstellen. Attacken sind den Entwicklern zufolge möglich, weil ein Authentifizierungsalgorithmus falsch implementiert wurde.
Bislang sind nur die abgesicherten vTM-Ausgaben 22.2R1 und 22.7R7 erschienen. Weitere Sicherheitsupdates sollen ab der kommenden Woche erscheinen. Um die Angriffsfläche für diese und ähnliche Attacken zu verkleinern, sollten Admins generell den Zugriff auf Managementinterfaces einschränken.
Weitere Gefahren
Eine "kritische" Lücke (CVE-2024-7569) betrifft Neurons for ITSM, wenn OIDC-Authentifizierung genutzt wird, schreiben die Entwickler in einem Beitrag. Ist das der Fall, kann ein Angreifer ohne Anmeldung das OIDC Client Secret einsehen. Eine zweite Schwachstelle (CVE-2024-7570 "hoch") erlaubt es einem entfernten Angreifer, sich als Man-in-the-Middle in Verbindungen einzuklinken. Hier schaffen die Ausgaben 2023.2 W/ patch, 2023.3 w/ patch und 2023.4 w/ patch Abhilfe.
Avalance ist durch fünf Sicherheitslücken bedroht, listet Ivanti einer Warnmeldung auf. Im schlimmsten Fall können Angreifer unter anderem DoS-Attacken ausführen (CVE-2024-38652 "hoch") oder Dateien auf Servern lesen (CVE-2024-38653 "hoch"). Die Entwickler geben an, die Sicherheitsprobleme in der Version 6.4.4 gelöst zu haben.
(des)
