Ivanti warnt vor Sicherheitslücken im Endpoint Manager, einer Verwaltungssoftware für Benutzer und Geräte im Netzwerk. Insgesamt geht es um drei Sicherheitslecks – eines verpasst die Einstufung als „kritisch“ nur haarscharf.

In einer Sicherheitsmitteilung erörtert Ivanti die Sicherheitslecks. Eine SQL-Injection-Schwachstelle betrifft die Web-Konsole des Ivanti Endpoint Managers. Authentifizierte Angreifer können dadurch aus dem Netz Schadcode einschleusen und ausführen (CVE-2026-8111, CVSS 8.8, Risiko „hoch“). Falsche Rechtezuweisung im Agenten des Endpoint Managers ermöglicht zudem das Ausweiten der Rechte im System von lokal angemeldeten bösartigen Akteuren (CVE-2026-8110, CVSS 7.8, Risiko „hoch“).

Im Core-Server des Endpoint Managers können angemeldete Angreifer aus dem Netz Zugangsdaten abgreifen, da er eine „exponierte gefährliche Methode“ (exposed dangerous method, CWE-749) aufweist – Zugriffe darauf sind laut Definition nicht zureichend beschränkt (CVE-2026-8109, CVSS 6.5, Risiko „mittel“). Die zugehörige ZDI-Mitteilung weist einen niedrigeren CVSS-Wert aus und zugleich darauf hin, dass der bestehende Authentifizierungsmechanismus umgehbar ist.

Ivanti gibt an, dass die Software-Version Ivanti EPM 2024 SU6 die Probleme beseitigt. Das Unternehmen erklärt außerdem, dass es keine Kenntnis davon hat, dass die Sicherheitslecks bereits attackiert würden. Daher könne es auch keine Hinweise auf (erfolgreiche) Angriffe (Indicators of Compromise, IOC) liefern. Die Schwachstellen hat demnach die Zero Day Initiative (ZDI) von Trend Micro (inzwischen unter der Marke TrendAI unterwegs) gemeldet. Trotz der Namensähnlichkeit seien die Lücken nicht im Endpoint Manager Mobile (EPMM) zu finden, führt Ivanti weiter aus.

IT-Verantwortliche sollten die Aktualisierung zügig installieren. Schwachstellen in Ivanti-Netzwerk-Verwaltungssoftware sind ein gefundenes Fressen für Cyberkriminelle. Vergangene Woche wurde etwa bekannt, dass Ivanti mit einem Update für EPMM Sicherheitslücken geschlossen hat, die bereits im Internet angegriffen wurden.

(dmk)

Extracted and lightly reformatted for readability. · Source: de