In der Netzwerk-Softwareverwaltungs-Lösung Endpoint Manager von Ivanti klaffen mehrere Sicherheitslücken. Eine davon gilt dem Hersteller sogar als kritisches Risiko. Updates schließen die Lecks.
In einer Sicherheitsmitteilung schreibt Ivanti, dass sich die Sicherheitslücken sowohl im Endpoint Manager Core als auch in den Remote-Konsolen finden. Von den vier Schwachstellen ist die gravierendste eine vom Typ „Stored Cross-Site-Scripting“ (Stored XSS), bei dem nicht authentifizierte Angreifer aus dem Netz auf verwundbaren Servern Javascript-Code einschleusen und speichern können, der im Kontext etwa einer Administrator-Sitzung zur Ausführung gelangt (CVE-2025-10573, CVSS 9.6, Risiko „kritisch“). Wie Attacken im Speziellen aussehen würden, erklärt Ivanti nicht. Der Hersteller erklärt jedoch, dass Ivanti EPM nicht dazu gedacht ist, aus dem Internet erreichbar zu sein; sofern Kunden das System nicht im öffentlichen Internet betreiben, sei das Risiko dieser Schwachstelle signifikant geringer.
Nicht angemeldete bösartige Akteure aus dem Netz können zudem beliebige Dateien auf Server schreiben und dadurch möglicherweise Schadcode einschleusen und ausführen. Das geht auf unzureichende Prüfungen von „dynamisch verwalteten Code-Ressourcen“ zurück (CVE-2025-13659, CVSS 8.8, Risiko „hoch“). Die Einstufung als kritische Bedrohung verpasst das Problem nur knapp. Ivanti erläutert, dass als Voraussetzung für einen Missbrauch Kunden zu einem nicht vertrauenswürdigen Core-Server verbinden müssten; gemäß der „Best-Practices“-Empfehlungen sollten Kunden ihr Ivanti EPM jedoch ausschließlich an vertrauenswürdige Server anbinden.
In der Patch-Management-Komponente führt eine unzureichende Prüfung kryptografischer Signaturen dazu, dass nicht angemeldete Angreifer aus dem Netz beliebigen Code ausführen können (CVE-2025-13662, CVSS 7.8, Risiko „hoch“). Außerdem können angemeldete Nutzer aufgrund einer Path-Traversal-Lücke beliebige Dateien außerhalb vorgesehener Verzeichnisse speichern (CVE-2025-13661, CVSS 7.1, Risiko „hoch“).
Wie Angriffe auf die Schwachstellen konkret aussehen können, führt Ivanti nicht aus, betont jedoch, dass für einen erfolgreichen Missbrauch bei allen Nutzerinteraktionen nötig sind. Bislang hat der Hersteller auch keine Kenntnisse darüber, dass die Schwachstellen bereits in freier Wildbahn missbraucht wurden. Daher könne Ivanti auch keine Indicators of Compromise (IOCs) nennen.
Die Aktualisierung auf Ivanti Endpoint Manager 2024 SU4 SR1 schließt alle genannten Sicherheitslecks. IT-Verantwortliche sollten es daher zügig installieren.
Auch im November dieses Jahres hatte Ivanti eine Sicherheitslücke im Endpoint Manager schließen müssen. Sie galt ebenfalls als hochriskant und ermöglichte Angreifern, Dateien auf Festplatten von Opfer-PCs zu schreiben.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare