{"id":6174,"date":"2025-12-11T13:01:45","date_gmt":"2025-12-11T13:01:45","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6174"},"modified":"2025-12-11T13:01:45","modified_gmt":"2025-12-11T13:01:45","slug":"ivantis-epm-systeme-anfallig-fur-angriffe","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6174","title":{"rendered":"Ivantis EPM-Systeme anf\u00e4llig f\u00fcr Angriffe"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Unternehmen sollten ihre EPM-Systeme von Ivanti so bald wie m\u00f6glich patchen, da dort schwerwiegende Sicherheitsl\u00fccken entdeckt wurden.\n<p class=\"imageCredit\">ImageFlow \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Ivanti hat k\u00fcrzlich einen schwerwiegenden Fehler in seinen EMP-Systemen gemeldet, der Admin-Sitzungen ohne Authentifizierung erlaubt. Angreifer k\u00f6nnten dadurch m\u00f6glicherweise Tausende von Unternehmensger\u00e4ten kontrollieren.<\/p>\n<p>Der Software-Anbieter ver\u00f6ffentlichte die EPM-Version 2024 SU4 SR1, um mehrere Schwachstellen zu beheben. Dazu geh\u00f6rt die kritische Schwachstelle mit der Kennung <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-10573\" target=\"_blank\" rel=\"noopener\">CVE-2025-10573<\/a>, die einen CVSS-Score von 9,6 aufweist.<\/p>\n<h2 class=\"wp-block-heading\">Weitere L\u00fccken<\/h2>\n<p>Das Update behebt auch zwei weitere L\u00fccken (CVE-2025-13659 und CVE-2025-13662), \u00fcber die Angreifer beliebigen Code ausf\u00fchren k\u00f6nnen. Zudem wird eine Schwachstelle gefixt, die unbefugtes Schreiben von Dateien auf dem Server erm\u00f6glicht.<\/p>\n<p>Zum Zeitpunkt der Offenlegung seien keine Kunden-Systeme ausgenutzt worden, betont Ivanti in seinem <a href=\"https:\/\/www.ivanti.com\/blog\/december-2025-security-update\" target=\"_blank\" rel=\"noopener\">Security Advisory<\/a>.<\/p>\n<p>Schon fr\u00fcher waren EPM-Systeme Ziel von Angriffen. <a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener\">Die US-Sicherheitsbeh\u00f6rde CISA hat im M\u00e4rz drei EPM-L\u00fccken <\/a>(CVE-2024-13159, CVE-2024-13160 und CVE-2024-13161) in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen, nachdem sie eine aktive Ausnutzung best\u00e4tigt hatte. Im Oktober meldete die Beh\u00f6rde eine weitere ausgenutzte EPM-Sicherheitsl\u00fccke (CVE-2024-29824).<\/p>\n<p>Die wiederholten Angriffe zeigen, wie wertvoll EPM f\u00fcr Cyberkriminelle ist. Sie erhalten dadurch einen dauerhaften Netzwerkzugang und laterale Bewegungsm\u00f6glichkeiten. Sobald Angreifer die Infrastruktur f\u00fcr das Management von Endger\u00e4ten kompromittiert haben, k\u00f6nnen sie sich schnell im gesamten Unternehmen ausbreiten.<\/p>\n<h2 class=\"wp-block-heading\">Nicht authentifizierter Angriffsvektor<\/h2>\n<p>Bei dem aktuellen Sicherheitsproblem der EPM-Systeme von Ivanti handelt es sich um eine <a href=\"https:\/\/www.csoonline.com\/article\/3492314\/cross-site-scripting-erklart-was-ist-ein-xss-angriff.html\" target=\"_blank\" rel=\"noopener\">Cross-Site-Scripting<\/a>-Sicherheitsl\u00fccke (XSS). Urspr\u00fcnglich wurde sie von Ryan Emmons, Sicherheitsforscher bei Rapid7, entdeckt und im August an Ivanti gemeldet.<\/p>\n<p>Laut dem ebenfalls k\u00fcrzlich ver\u00f6ffentlichten Bericht zur<a href=\"https:\/\/www.rapid7.com\/blog\/post\/cve-2025-10573-ivanti-epm-unauthenticated-stored-cross-site-scripting-fixed\/\" target=\"_blank\" rel=\"noopener\"> Offenlegung<\/a> von Rapid7 k\u00f6nnen Angreifer ohne Authentifizierung b\u00f6sartige Ger\u00e4tescandaten an die eingehende Daten-API von EPM \u00fcbermitteln. Die b\u00f6sartigen Daten werden verarbeitet und in das EPM-Web-Dashboard eingebettet. Dort k\u00f6nnen sie ausgef\u00fchrt werden, wenn Administratoren die betroffenen Seiten aufrufen.<\/p>\n<p>\u201eEin Angreifer mit nicht authentifiziertem Zugriff auf den prim\u00e4ren EPM-Webdienst kann gef\u00e4lschte verwaltete Endpunkte mit dem EPM-Server verbinden, um das Administrator-Web-Dashboard mit b\u00f6sartigem JavaScript zu infizieren\u201c, erkl\u00e4rt Emmons.<\/p>\n<p>Sobald das b\u00f6sartige JavaScript ausgef\u00fchrt wird, erlangen Angreifer die Kontrolle \u00fcber die Admin-Sitzung mit vollen Berechtigungen, um Endpunkte fernzusteuern und Software auf Ger\u00e4ten zu installieren.<\/p>\n<p>Vor diesem Hintergrund warnte Nick Tausek, Security-Spezialisit bei Swimlane: \u201eDie Ausnutzung dieser Schwachstelle w\u00fcrde Angreifern Zugriff auf viele verwaltete Ger\u00e4te gleichzeitig gew\u00e4hren und es ihnen erm\u00f6glichen, Schadcode auszuf\u00fchren, Ransomware zu deployen oder sensible Daten zu exfiltrieren.\u201c<\/p>\n<h2 class=\"wp-block-heading\">Die Herausforderung beim Patchen<\/h2>\n<p>Trotz der Dringlichkeit solcher Bedrohungen f\u00e4llt es Unternehmen h\u00e4ufig schwer, kritische Schwachstellen schnell zu beheben: Eine Untersuchung von Swimlane ergab, dass 68 Prozent der Unternehmen kritische Schwachstellen l\u00e4nger als 24 Stunden ungepatcht lassen. Zudem verf\u00fcgen 55 Prozent \u00fcber kein umfassendes System zur Priorisierung von Schwachstellen.<\/p>\n<p>Die Verz\u00f6gerung ist besonders riskant f\u00fcr Endpunkt-Management-Systeme, die mit erh\u00f6hten Berechtigungen laufen und Tausende von Ger\u00e4ten steuern. Eine erfolgreiche Ausnutzung k\u00f6nnte Sicherheitskontrollen umgehen und es Angreifern erm\u00f6glichen, Malware auf verwaltete Endpunkte zu \u00fcbertragen, Sicherheitskonfigurationen zu \u00e4ndern oder dauerhafte Hintert\u00fcren im gesamten Unternehmen einzurichten.<\/p>\n<p>\u201eDas Potenzial f\u00fcr eine ernsthafte Angriffskampagne sollte nicht \u00fcbersehen werden\u201c, mahnte Tausek.<\/p>\n<h2 class=\"wp-block-heading\">Anleitung zum Patchen<\/h2>\n<p>Der Patch ist \u00fcber das Ivanti License System verf\u00fcgbar und gilt f\u00fcr EPM-Versionen 2024 SU4 und fr\u00fcher. Unternehmen, die die 2022-Version verwenden, sollten beachten, dass diese im Oktober 2025 ausgelaufen ist keine Sicherheits-Updates mehr erh\u00e4lt, f\u00fcgte Ivanti hinzu.<\/p>\n<p>Sicherheitsteams sollten die Aktualisierung von EPM-Instanzen auf die Version 2024 SU4 SR1 unverz\u00fcglich priorisieren, insbesondere bei Installationen, auf die von nicht vertrauensw\u00fcrdigen Netzwerken aus zugegriffen werden kann. Der Patch sollte innerhalb von 24 Stunden installiert werden.<\/p>\n<p>F\u00fcr Unternehmen, die den Patch nicht sofort installieren k\u00f6nnen, empfiehlt Ivanti, sicherzustellen, dass die Verwaltungsschnittstellen von EPM nicht dem \u00f6ffentlichen Internet ausgesetzt sind, und eine strenge Netzwerksegmentierung zu implementieren.<\/p>\n<p>Swimlane-Mann Tausek r\u00e4t au\u00dferdem, Administratoren darin zu schulen, <a href=\"https:\/\/www.csoonline.com\/article\/3491733\/was-ist-social-engineering.html\" target=\"_blank\" rel=\"noopener\">Social-Engineering<\/a>-Angriffe zu erkennen, da die kritische XSS-Sicherheitsl\u00fccke nur durch das Aufrufen einer manipulierten Dashboard-Seite ausgel\u00f6st werden kann.<\/p>\n<p>\u201eDa EPMs oft mit hohen Berechtigungen ausgef\u00fchrt werden, besteht bei jedem Missbrauch die Gefahr, dass Sicherheitskontrollen umgangen werden und die Auswirkungen einer Sicherheitsverletzung schnell eskalieren\u201c, f\u00fcgte er hinzu. (jm)<\/p>\n<p><a><\/a><\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Unternehmen sollten ihre EPM-Systeme von Ivanti so bald wie m\u00f6glich patchen, da dort schwerwiegende Sicherheitsl\u00fccken entdeckt wurden. ImageFlow \u2013 shutterstock.com Ivanti hat k\u00fcrzlich einen schwerwiegenden Fehler in seinen EMP-Systemen gemeldet, der Admin-Sitzungen ohne Authentifizierung erlaubt. Angreifer k\u00f6nnten dadurch m\u00f6glicherweise Tausende von Unternehmensger\u00e4ten kontrollieren. Der Software-Anbieter ver\u00f6ffentlichte die EPM-Version 2024 SU4 SR1, um mehrere Schwachstellen zu [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":6175,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6174","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6174"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6174"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6174\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6175"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6174"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6174"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6174"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}