Admins aufgepasst: Sicherheitslücken in Ivanti Endpoint Manager Mobile dringend schließen

Vor einer Woche informierte Ivanti über eine Zero-Day-Schwachstelle in EPMM, die unauthentifizierten API-Zugriff ermöglicht. Unit 42, das Forschungsteam von Palo Alto, warnt Admins dringend, das ein Upgrade zu installieren. Vor allem Nutzer in Deutschland sind gefährdet.

Die meisten Server der von der Zero-Day-Schwachstelle CVE-2023-35078 in den Versionen 11.10, 11.9.und 11.8. und älter betroffenen Ivanti Endpoint Manager Mobile-Server stehen in Deutschland. Das stellte die Cortex Xpanse-Datenanalyse für das Angriffsflächenmanagement unmittelbar nach Bekanntgabe der Schwachstelle fest. Diese erlaubt einen nicht authentifizierten API-Zugriff. Folge: Angreifer können ohne Zugangsdaten personenbezogene Daten extrahieren und administrative Aktionen durchführen, wie das Anlegen neuer Konten und das Vornehmen von Konfigurationsänderungen, so Unit 42.

"Angesichts der Anzahl der potenziell gefährdeten Server im Internet, auf denen diese Software läuft, ist es sehr wahrscheinlich, dass viele Institutionen oder Unternehmen in verschiedenen Ländern zum Angriffsziel werden könnten oder bereits geworden sind. Open-Source-Berichte deuten darauf hin, dass erste Angriffe höchstwahrscheinlich stattfanden, bevor Ivanti von der Sicherheitslücke wusste", so das Forscherteam weiter.

Weitere Sicherheitslücke in Ivanti EPMM entdeckt

Die kritische Sicherheitslücke CVE-2023-35078 war nicht die einzige. Es folgte die Meldung einer weiteren Sicherheitslücke mit einer hohen CVSS-Einstufung in Ivanti Endpoint Manager Mobile. Bei CVE-2023-35081 handele es sich um eine Remote-File-Write-Schwachstelle, bei der ein authentifizierter Administrator Dateien auf den kompromittierten Server schreiben muss, die zusätzliche Nutzdaten enthalten können, um weiteren Zugriff zu ermöglichen, so Unit 42.

Grundlegendes Problem, wenn Sicherheitsforscher Schwachstellen enddecken und öffentlich machen: Potenzielle Angreifer werden erst recht hellhörig, ihre Aufmerksamkeit auf zusätzliche Schwachstellen gelenkt. So wie jetzt im Fall von Ivanti EPMM.

Empfehlungen von Unit 42

Unit 42 empfiehlt den Nutzern der betroffenen Software ein Upgrade auf die neuesten Versionen, die Korrekturen für diese Sicherheitslücken enthalten. Es sei besonders wichtig, dass Administratoren ihre Netzwerktopologie überprüfen, um sicherzustellen, "dass alle öffentlich zugänglichen Ivanti EPMM-Dienste mit dem neuesten Patch aktualisiert sind". Ist eine Aktualisierung auf die korrigierten Versionen der Software nicht möglich, empfiehlt Unit 42 außerdem, Vorsichtsmaßnahmen zu ergreifen, um den Zugang zu den anfälligen Servern zu kontrollieren und den öffentlichen Zugang einzuschränken, bis sie gepatcht werden können.