Kritische Schwachstellen in mehreren Ivanti-Produkten
- Warnmeldung
Die CSBW warnt vor mehreren Sicherheitslücken in den Programmen Connect Secure (ICS), Policy Secure (IPS) und Cloud Services Application (CSA) von Ivanti. Das Unternehmen Ivanti stellt abgesicherte Versionen bereit.
© Generiert mit Adobe Firefly
Neue Versionen schließen die Lücken
Der Hersteller Ivanti publizierte am 11. Februar 2025 zwei Sicherheitsmeldungen zu Schwachstellen in seinen Tools ICS, IPS und CSA. Darunter sind die folgenden kritischen:
- CVE-2025-22467 mit einem CVSS-Score von 9.9/10 betrifft ICS vor Version 22.7R2.6. Die Lücke ermöglicht Angreifenden Remote Code Execution (RCE).
- CVE-2024-38657 und CVE-2024-10644, jeweils mit einem CVSS-Score von 9.1/10, betreffen ICS vor Version 22.7R2.4 und IPS vor Version 22.7R1.3. Über die Schwachstellen können Angreifende mit Admin-Rechten Schadcode ausführen oder beliebige Daten in Systeme einschleusen.
- CVE-2024-47908 mit einem CVSS-Score von 9.1/10 betrifft CSA. Auch diese Sicherheitslücke ermöglicht Angreifenden mit Admin-Rechten, Schadcode auszuführen.
Zu jeder Software veröffentlichte Ivanti abgesicherte Versionen, die die genannten Schwachstellen und weitere schließen.
Empfehlung
Installieren Sie umgehend die neuesten Versionen von ICS, IPS und CSA. Die genauen Versionsbeschreibungen finden Sie in den unten verlinkten Sicherheitsmeldungen von Ivanti.