Im Ivanti Endpoint Manager klafft eine Sicherheitslücke
Eine kritische Lücke im Ivanti Endpoint Manager ermöglicht es Angreifern, Geräte zu übernehmen und Informationen zu stehlen. Die Sicherheitslücke betrifft ältere Versionen bis und mit 2022 SU4.

Die Entwickler von Ivanti Endpoint Manager, einem Programm zur Verwaltung von Endgeräten, warnt vor einer Schwachstelle (CVE-2023-39336). Die Lücke wird als "kritisch" eingestuft, wie das Unternehmen schreibt.
Angreifer könnten über die Lücke mittels einer SQL-Injection-Attacke willkürliche SQL-Anweisungen ausführen und Informationen aus dem System beziehen, heisst es weiter. Damit könnten Angreifer Kontrolle über Geräte erlangen, die über EPM verwaltet werden. Wenn der Hauptserver für die Verwendung von Microsoft SQL Express konfiguriert ist, können Cyberkriminelle Remote-Command-Execution-Angriffe (RCE) auf dem Hauptserver ausführen, wie es heisst.
Dies soll aber nur dann geschehen, wenn der Angreifer bereits über Netzwerkzugriff verfüge und SQL Express konfiguriert sei. Aufgrund des Schweregrads der Sicherheitslücke ist von einer vollständigen Kompromittierung auszugehen, wie es weiter heisst. Bislang soll es zu keinen Attacken gekommen sein.
Die Lücke betrifft laut dem Entwickler alle EPM-Versionen bis und mit 2022 SU4. Für EPM 2021/2022 SU5 sei das Problem gelöst. Das Unternehmen rät Anwendern, die Applikation zu aktualisieren. Derzeit blockiert Ivanti allerdings den öffentlichen Zugang zu einem Advisory, das alle Details zu CVE-2023-39336 enthält. Dies dient dazu, ihren Kunden mehr Zeit zu geben, ihre Geräte zu sichern, bevor Bedrohungsakteure Exploits mit den zusätzlichen Informationen erstellen können, wie Bleepingcomputer schreibt.
Apropos: Schon im Sommer 2023 sind gleich mehrere Schwachstellen in Produkten des Unternehmens Ivanti bekanntgeworden, die auf Hunderten Servern laufen. Mehr dazu lesen Sie hier.

Kermit und Steve Martin liefern sich ein Banjo-Duell

So setzen die 13'367 grössten Schweizer Unternehmen IT im Business ein

Die Schweiz erhält eine biometrische Identitätskarte

Update: US-Justizbehörde steht Juniper-Übernahme durch HPE nicht mehr im Weg

Akros beruft neuen CEO

Update: Leuker Bewohner wehren sich gegen Elon Musks Starlink-Antennenprojekt

Bug Bounty Switzerland ernennt Director of Delivery & Customer Success

Proton verklagt Apple in den USA

SmartIT erweitert Geschäftsleitung
