Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Ivanti patcht zweiten EPMM-Nullpunkt
Ivanti hat einen Patch herausgegeben, um eine zweite kritische Zero-Day-Schwachstelle zu schließen, die angeblich aktiv angegriffen wird.
Der Anbieter sagte, dass für Kunden, die Endpoint Mobile Manager nutzen, der Montag-Fix für CVE-2023-35081 ein „kritisches“ Update sei, das so schnell wie möglich angewendet werden sollte.
Das Update ist der zweite derartige Notfall-Patch von Ivanti in den letzten Tagen und folgt auf Berichte, dass zwei EPMM-Zero-Days für Angriffe auf die norwegische Regierung ausgenutzt wurden.
Oberflächlich betrachtet scheint CVE-2023-35081 mit einer CVSS-Bewertung von 7,2 keine kritisch schwerwiegende Schwachstelle zu sein. Der Path-Traversal-Fehler ermöglicht es einem Benutzer, Dateien aus der Ferne ohne Erlaubnis zu erstellen. Für die Ausnutzung ist jedoch die Anmeldung mit einem gültigen Konto erforderlich.
Besonders schlimm wird dieser Fehler jedoch, wenn er mit dem zweiten aktuellen EPMM-Zero-Day gepaart wird. CVE-2023-35078, das letzte Woche bekannt gegeben und gepatcht wurde, ermöglicht es dem Remote-Angreifer, Authentifizierungskontrollen zu umgehen.
Durch die Verkettung der beiden Fehler erhält der Angreifer dann die Möglichkeit, Code aus der Ferne auf einer anfälligen EPMM-Installation zu installieren, ohne dass dafür Authentifizierungsdaten erforderlich sind.
Dies scheint beim jüngsten Angriff auf Norwegen der Fall gewesen zu sein, wo Regierungsbeamte sagten, sie hätten Anfang des Monats einen Netzwerkverstoß entdeckt, der mehrere Ministerien betraf.
Wer hinter dem Angriff stecken könnte, spekulierten die Beamten nicht. Ivanti räumte ein, dass „die gleiche begrenzte Anzahl von Kunden“ von den gepaarten Exploits betroffen sei.
Jetzt fordert der Anbieter alle seine Kunden auf, die Updates so schnell wie möglich zu testen und bereitzustellen, eine Meinung, die auch von CISA bestätigt wird. Das US-amerikanische Büro für Cybersicherheit rät den Regierungsbehörden, sich beide Patches zu besorgen, und stellt fest, dass „diese Art von Schwachstellen häufige Angriffsvektoren für böswillige Cyber-Akteure sind und erhebliche Risiken für das Bundesunternehmen darstellen.“
Administratoren sind außerdem gut beraten, die Patches rechtzeitig vor der Sicherheitsveröffentlichung „Patch Tuesday“ von Microsoft und anderen Unternehmensanbietern testen und installieren zu lassen.
Während Zero-Day-Exploits die Schlagzeilen dominieren, sind viele Unternehmen lediglich durch bekannte Schwachstellen gefährdet, deren Updates durch das Raster gerutscht sind. Ein CISA-Bericht aus dem Jahr 2021 ergab, dass bis zu 100 Sicherheitslücken mit hohem Risiko von Bundesbehörden häufig nicht behoben wurden.