Ivanti schließt kritische Schwachstellen in mehreren Produkten

Konkret sind die folgenden Ivanti-Produkte betroffen:

• Endpoint Manager (EPM)
• Connect Secure (ICS)
• Policy Secure (IPS)
• Security Access Client (ISAC)
• Avalanche

Zu keiner der geschlossenen Sicherheitslücken liegen Ivanti Hinweise vor, dass Angreifende diese Lücken aktiv ausgenutzt hätten.

Weitere Informationen zu allen Schwachstellen finden Sie in den jeweiligen Sicherheitshinweisen von Ivanti (siehe Links unten).

Ivanti schloss im EPM 18 Sicherheitslücken. Darunter ist auch die kritische Lücke CVE-2024-50330 mit einem CVSS-Score von 9.8/10. Laut Ivanti können Angreifende über diese SQL-Injection-Schwachstelle einen RCE-Angriff (Remote Code Execution) durchführen und damit beliebigen (Schad-)Code starten.

Betroffen seien alle Versionen des Endpoint Manager 2024 und 2022 SU6 vor dem November-Update.

25 Schwachstellen schloss der Hersteller in Connect Secure, Ivanti Policy Secure und Ivanti Security Access Client. Darunter sind diese acht kritischen Sicherheitslücken mit jeweils einem CVSS-Score von 9.1/10:

• CVE-2024-38655 und 38656
• CVE-2024-39710 bis 39712
• CVE-2024-11005 bis 11007

Ivanti zufolge ermöglichen diese Argument- und Command-Injection-Sicherheitslücken Angreifenden mit Administratorrechten einen RCE-Angriff.

Betroffen von diesen kritischen Sicherheitslücken sind Ivanti Connect Secure bis einschließlich Version 22.7R2.2 sowie Ivanti Policy Secure bis einschließlich 22.7R1.1.

In Avalanche schloss Ivanti sechs Schwachstellen (CVE-2024-50317 bis 50321, CVE-2024-50331) mit jeweils einem CVSS-Score von 7.5/10.

Von diesen Sicherheitslücken ist Avalanche bis einschließlich Version 6.4.5 betroffen.

Aktualisieren Sie die Produkte auf die verfügbaren Updates.