Alert!

Workaround vonnöten: Kritische Lücken bedrohen Ivanti Endpoint Manager

Gegen mögliche Schadcode-Attacken gerüstete Ivanti-EPM-Versionen lassen noch auf sich warten. Bislang gibt es nur einen Hot Patch für eine Version.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen

(Bild: JLStock/Shutterstock.com)

Lesezeit: 2 Min.

Die Gerätemanagementlösung Endpoint Manager (EPM) von Ivanti könnte als Einfallstor für Angreifer dienen. Insgesamt können sie an zehn Sicherheitslücken ansetzen. Davon gelten sechs als "kritisch". Derzeit gibt es aber noch keine reparierten EPM-Ausgaben und Admins müssen eine Übergangslösung anwenden, um Systeme abzusichern.

Durch das erfolgreiche Ausnutzen der als kritisch eingestuften Schwachstellen (CVE-2024-29822, CVE-2024-29823, CVE-2024-29824, CVE-2024-29825, CVE-2024-29826, CVE-2024-29827) kann Schadcode auf Systeme gelangen. Die verbleibenden Lücken (SQL Injection) sind mit "hoch" eingestuft.

Wie aus einer Warnmeldung hervorgeht, sind davon alle EPM-Versionen bis einschließlich EPM 2022 SU5 bedroht. Da es noch keine Sicherheitspatches gibt, müssen Admins selbst Hand anlegen und von Ivanti behandelte DLL-Dateien (Download) auf Core Server kopieren. Vorher sollten sie dem Softwareanbieter zufolge aber die originären DLL-Dateien an einen sicheren Ort kopieren. Achtung: Dieser Workaround funktioniert den Entwicklern zufolge ausschließlich mit EPM 2022 SU5.

Im Anschluss müssen Admins folgende Dateien an diese Orte kopieren:

  • LANDesk.AlertManager.Business.dll C:\inetpub\wwwroot\LANDesk\LDMS\bin
  • LANDesk.AlertManager.Data.dll C:\inetpub\wwwroot\LANDesk\LDMS\bin
  • PatchApi.dll C:\Program Files\LANDesk\ManagementSuite\patchapi\bin
  • PatchBiz.dll C:\inetpub\wwwroot\LANDesk\LDMS\bin, C:\Program Files\LANDesk\ManagementSuite , C:\Program Files\LANDesk\ManagementSuite\LANDesk\mbsdkservice\bin\, C:\Program Files\LANDesk\ManagementSuite\LANDesk\SAM\samserver\bin\

Ivanti weist ausdrücklich darauf hin, dass die neuen DLLs erst nach einem Neustart aktiv sind und Systeme erst dann geschützt sind. Alternativ müssen Admins die EPM-Konsole beenden und den Befehl IISRESET ausführen. Außerdem müssen sie sicherstellen, dass die DLL-Dateien den Status "unblocked" haben.

Wann die angekündigte gepatchte EPM-Version erscheint, ist bislang unklar. Ivanti versichert, dass es derzeit keine Hinweise auf Attacken gibt.

(des)