Kritische Schwachstellen im Ivanti-Endpoint Manager entdeckt
Ivanti hat Sicherheitsupdates veröffentlicht, um mehrere Sicherheitslücken in Avalanche, Application Control Engine und Endpoint Manager (EPM) zu schließen. Dabei sind vier Sicherheitslücken, die als kritisch eingestuft wurden. Diese könnten Angreifern ermöglichen, sensible Informationen abzugreifen.
Alle vier kritischen Sicherheitslücken mit einer Bewertung von 9,8 von 10,0 Punkten auf der CVSS-Skala betreffen den Endpoint Manager (EPM) von Ivanti. Sie ermöglichen es einem Angreifer, ohne vorherige Anmeldung oder Authentifizierung, auf sensible Daten zuzugreifen. In allen Fällen geht es um die sogenannte „absolute Pfadüberquerung“. Dabei nutzt der Angreifer eine fehlerhafte Verarbeitung von Dateipfaden, um geschützte Informationen auszulesen, die eigentlich nicht zugänglich sein sollten.
Diese Sicherheitslücken tragen die folgenden Identifikationsnummern:
- CVE-2024-10811
- CVE-2024-13161
- CVE-2024-13160
- CVE-2024-13159
Betroffen sind alle Versionen bis einschließlich des Sicherheitsupdates von November 2024 (EPM 2024) und des Sicherheitsupdates von November 2022 (EPM 2022 SU6). Die Sicherheitslücken wurden in den Updates vom Januar 2025 für EPM 2024 und EPM 2022 SU6 geschlossen.
Die Entdeckung und Meldung der kritischen Schwachstellen wird dem Sicherheitsexperten Zach Hanley von Horizon3.ai zugeschrieben.
Außerdem hat Ivanti auch mehrere gefährliche Sicherheitslücken in der Avalanche-Software (Versionen vor 6.4.7) und in der Application Control Engine (Versionen vor 10.14.4.0) behoben. Diese Schwachstellen könnten Angreifern ermöglichen, die Authentifizierung zu umgehen, vertrauliche Informationen auszuspähen und Sicherheitsfunktionen wie die Blockierung von Anwendungen zu umgehen.
Laut Ivanti gibt es bisher keine Hinweise darauf, dass diese Schwachstellen bereits aktiv ausgenutzt wurden. Das Unternehmen hat zudem seine internen Verfahren verbessert, um Sicherheitsprobleme schneller zu erkennen und zu beheben.
Auch SAP muss kritische Schwachstellen schließen
Die Entwicklung fällt mit der Veröffentlichung von Updates durch SAP zusammen, die zwei kritische Schwachstellen im NetWeaver ABAP Server und der ABAP-Plattform beheben sollen (CVE-2025-0070 und CVE-2025-0066, CVSS-Bewertung: 9,9). Diese Schwachstellen ermöglichen es einem authentifizierten Angreifer, unsachgemäße Authentifizierungsprüfungen auszunutzen, um Rechte auszuweiten und auf eingeschränkte Informationen zuzugreifen, da die Zugriffskontrollen unzureichend sind.
„SAP empfiehlt Kunden dringend, das Support-Portal zu besuchen und die bereitgestellten Patches mit hoher Priorität anzuwenden, um ihre SAP-Systemlandschaft zu schützen“, erklärte das Unternehmen in seinem Bulletin vom Januar 2025.