ImageFlow – shutterstock.com
Ivanti hat kürzlich einen schwerwiegenden Fehler in seinen EMP-Systemen gemeldet, der Admin-Sitzungen ohne Authentifizierung erlaubt. Angreifer könnten dadurch möglicherweise Tausende von Unternehmensgeräten kontrollieren.
Der Software-Anbieter veröffentlichte die EPM-Version 2024 SU4 SR1, um mehrere Schwachstellen zu beheben. Dazu gehört die kritische Schwachstelle mit der Kennung CVE-2025-10573, die einen CVSS-Score von 9,6 aufweist.
Weitere Lücken
Das Update behebt auch zwei weitere Lücken (CVE-2025-13659 und CVE-2025-13662), über die Angreifer beliebigen Code ausführen können. Zudem wird eine Schwachstelle gefixt, die unbefugtes Schreiben von Dateien auf dem Server ermöglicht.
Zum Zeitpunkt der Offenlegung seien keine Kunden-Systeme ausgenutzt worden, betont Ivanti in seinem Security Advisory.
Schon früher waren EPM-Systeme Ziel von Angriffen. Die US-Sicherheitsbehörde CISA hat im März drei EPM-Lücken (CVE-2024-13159, CVE-2024-13160 und CVE-2024-13161) in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen, nachdem sie eine aktive Ausnutzung bestätigt hatte. Im Oktober meldete die Behörde eine weitere ausgenutzte EPM-Sicherheitslücke (CVE-2024-29824).
Die wiederholten Angriffe zeigen, wie wertvoll EPM für Cyberkriminelle ist. Sie erhalten dadurch einen dauerhaften Netzwerkzugang und laterale Bewegungsmöglichkeiten. Sobald Angreifer die Infrastruktur für das Management von Endgeräten kompromittiert haben, können sie sich schnell im gesamten Unternehmen ausbreiten.
Nicht authentifizierter Angriffsvektor
Bei dem aktuellen Sicherheitsproblem der EPM-Systeme von Ivanti handelt es sich um eine Cross-Site-Scripting-Sicherheitslücke (XSS). Ursprünglich wurde sie von Ryan Emmons, Sicherheitsforscher bei Rapid7, entdeckt und im August an Ivanti gemeldet.
Laut dem ebenfalls kürzlich veröffentlichten Bericht zur Offenlegung von Rapid7 können Angreifer ohne Authentifizierung bösartige Gerätescandaten an die eingehende Daten-API von EPM übermitteln. Die bösartigen Daten werden verarbeitet und in das EPM-Web-Dashboard eingebettet. Dort können sie ausgeführt werden, wenn Administratoren die betroffenen Seiten aufrufen.
„Ein Angreifer mit nicht authentifiziertem Zugriff auf den primären EPM-Webdienst kann gefälschte verwaltete Endpunkte mit dem EPM-Server verbinden, um das Administrator-Web-Dashboard mit bösartigem JavaScript zu infizieren“, erklärt Emmons.
Sobald das bösartige JavaScript ausgeführt wird, erlangen Angreifer die Kontrolle über die Admin-Sitzung mit vollen Berechtigungen, um Endpunkte fernzusteuern und Software auf Geräten zu installieren.
Vor diesem Hintergrund warnte Nick Tausek, Security-Spezialisit bei Swimlane: „Die Ausnutzung dieser Schwachstelle würde Angreifern Zugriff auf viele verwaltete Geräte gleichzeitig gewähren und es ihnen ermöglichen, Schadcode auszuführen, Ransomware zu deployen oder sensible Daten zu exfiltrieren.“
Die Herausforderung beim Patchen
Trotz der Dringlichkeit solcher Bedrohungen fällt es Unternehmen häufig schwer, kritische Schwachstellen schnell zu beheben: Eine Untersuchung von Swimlane ergab, dass 68 Prozent der Unternehmen kritische Schwachstellen länger als 24 Stunden ungepatcht lassen. Zudem verfügen 55 Prozent über kein umfassendes System zur Priorisierung von Schwachstellen.
Die Verzögerung ist besonders riskant für Endpunkt-Management-Systeme, die mit erhöhten Berechtigungen laufen und Tausende von Geräten steuern. Eine erfolgreiche Ausnutzung könnte Sicherheitskontrollen umgehen und es Angreifern ermöglichen, Malware auf verwaltete Endpunkte zu übertragen, Sicherheitskonfigurationen zu ändern oder dauerhafte Hintertüren im gesamten Unternehmen einzurichten.
„Das Potenzial für eine ernsthafte Angriffskampagne sollte nicht übersehen werden“, mahnte Tausek.
Anleitung zum Patchen
Der Patch ist über das Ivanti License System verfügbar und gilt für EPM-Versionen 2024 SU4 und früher. Unternehmen, die die 2022-Version verwenden, sollten beachten, dass diese im Oktober 2025 ausgelaufen ist keine Sicherheits-Updates mehr erhält, fügte Ivanti hinzu.
Sicherheitsteams sollten die Aktualisierung von EPM-Instanzen auf die Version 2024 SU4 SR1 unverzüglich priorisieren, insbesondere bei Installationen, auf die von nicht vertrauenswürdigen Netzwerken aus zugegriffen werden kann. Der Patch sollte innerhalb von 24 Stunden installiert werden.
Für Unternehmen, die den Patch nicht sofort installieren können, empfiehlt Ivanti, sicherzustellen, dass die Verwaltungsschnittstellen von EPM nicht dem öffentlichen Internet ausgesetzt sind, und eine strenge Netzwerksegmentierung zu implementieren.
Swimlane-Mann Tausek rät außerdem, Administratoren darin zu schulen, Social-Engineering-Angriffe zu erkennen, da die kritische XSS-Sicherheitslücke nur durch das Aufrufen einer manipulierten Dashboard-Seite ausgelöst werden kann.
„Da EPMs oft mit hohen Berechtigungen ausgeführt werden, besteht bei jedem Missbrauch die Gefahr, dass Sicherheitskontrollen umgangen werden und die Auswirkungen einer Sicherheitsverletzung schnell eskalieren“, fügte er hinzu. (jm)
No Responses