Ivanti Endpoint Manager Lücke ermöglicht Privilegien-Eskalation

Eine kritische Schwachstelle im Ivanti Endpoint Manager (EPM) erlaubt es Angreifern mit geringen Privilegien, durch einen Buffer Overflow beliebigen Code mit administrativen Rechten auszuführen. Dies stellt ein erhebliches Sicherheitsrisiko dar, insbesondere für Unternehmen, die noch ältere Versionen von EPM verwenden. Die Schwachstelle CVE-2024-22058 wurde mit einem CVSS-Wert von 7.8 bewertet. Die Schwachstelle betrifft ältere, nicht mehr unterstützte Versionen des EPM bis einschließlich 2021.1 Service Update 5 (SU5). Nutzer werden dringend aufgefordert, auf die neueste Version zu aktualisieren, um sich vor potenziellen Angriffen zu schützen.

Die Schwachstelle entsteht, wenn ein Client eine Verbindung zur LanDesk-Anwendung über Port 9535/TCP herstellt und Daten über eine bestimmte Subroutine empfangen werden. Ein Buffer Overflow tritt auf, wenn die Anwendung unsichere Größenwerte aus den Datenpaketen verarbeitet. Dieser Fehler ermöglicht es einem Angreifer, eine char-Array im .data-Segment der issuser.exe zu überschreiben und somit die Kontrolle über den Instruction Pointer zu erlangen.

Da weder CFG noch ASLR in der betroffenen Binärdatei implementiert sind, bleibt lediglich DEP als Schutzmechanismus. Dennoch kann dieser durch geschicktes Ausnutzen von ROP-Gadgets in der RollingLog.dll umgangen werden. Durch das gezielte Setzen des Stack-Speichers als ausführbar ist es einem Angreifer möglich, beliebigen Code auszuführen und so erhöhte Privilegien zu erlangen.

Ivanti hat bekannt gegeben, dass bisher keine Ausnutzung dieser Schwachstelle gemeldet wurde. Trotzdem wird allen Anwendern dringend empfohlen, auf EPM Version 2022 oder höher umzusteigen, da diese Versionen die betroffene Legacy Remote Control Funktion nicht mehr enthalten und somit nicht anfällig für CVE-2024-22058 sind.

Related Posts

Sicherheitslücke in OpenText Dimensions RM ermöglicht beliebiges Dateiauslesen

Schwerwiegende Sicherheitslücken wurde in OpenText Dimensions RM entdeckt, einer Software zur Verwaltung von Anforderungen und Konfigurationsänderungen in Softwareentwicklungsprojekten. Diese Schwachstelle, bekannt unter der Bezeichnung CVE-2024-5202, ermöglicht es Angreifern, beliebige Dateien auf dem Dimensions RM Server zu lesen. Betroffen sind die Versionen 12.10, 12.11, 12.11.1 und CE 23.4 (12.11.2).

Read More

Serverseitiger Kreditkarten-Skimmer in Wordpress Plugin entdeckt

Angreifer nutzen zunehmend kompromittierte Plugins, um Malware auf Websites zu injizieren. Ein aktuelles Beispiel ist der serverseitige Kreditkarten-Skimmer, der über das wenig bekannte Dessky Snippets Plugin auf WooCommerce-Wordpress-Seiten eingeschleust wurde.

Read More

D-Link D-View 8: Hardcoded Crypto-Keys und RCE Lücken gefunden

Am 14. Mai 2024 wurden mehrere schwerwiegende Sicherheitslücken in der Netzwerkmanagementplattform D-Link D-View 8.0 veröffentlicht. Diese Schwachstellen, die ursprünglich am 24. August 2023 von TrendMicro’s Zero Day Initiative (ZDI) gemeldet wurden, betreffen die Version 2.0.1.89 und frühere Versionen. Die Schwachstellen ermöglichen es Angreifern, beliebigen Code auszuführen oder Authentifizierungsmechanismen zu umgehen, was schwerwiegende Auswirkungen auf die Systemsicherheit hat. Die folgenden CVE-Nummern und Beschreibungen geben detaillierte Informationen zu den einzelnen Schwachstellen:

Read More