Eine kritische Schwachstelle im Ivanti Endpoint Manager (EPM) erlaubt es Angreifern mit geringen Privilegien, durch einen Buffer Overflow beliebigen Code mit administrativen Rechten auszuführen. Dies stellt ein erhebliches Sicherheitsrisiko dar, insbesondere für Unternehmen, die noch ältere Versionen von EPM verwenden. Die Schwachstelle CVE-2024-22058 wurde mit einem CVSS-Wert von 7.8 bewertet. Die Schwachstelle betrifft ältere, nicht mehr unterstützte Versionen des EPM bis einschließlich 2021.1 Service Update 5 (SU5). Nutzer werden dringend aufgefordert, auf die neueste Version zu aktualisieren, um sich vor potenziellen Angriffen zu schützen.
Die Schwachstelle entsteht, wenn ein Client eine Verbindung zur LanDesk-Anwendung über Port 9535/TCP herstellt und Daten über eine bestimmte Subroutine empfangen werden. Ein Buffer Overflow tritt auf, wenn die Anwendung unsichere Größenwerte aus den Datenpaketen verarbeitet. Dieser Fehler ermöglicht es einem Angreifer, eine char-Array im .data-Segment der issuser.exe zu überschreiben und somit die Kontrolle über den Instruction Pointer zu erlangen.
Da weder CFG noch ASLR in der betroffenen Binärdatei implementiert sind, bleibt lediglich DEP als Schutzmechanismus. Dennoch kann dieser durch geschicktes Ausnutzen von ROP-Gadgets in der RollingLog.dll umgangen werden. Durch das gezielte Setzen des Stack-Speichers als ausführbar ist es einem Angreifer möglich, beliebigen Code auszuführen und so erhöhte Privilegien zu erlangen.
Ivanti hat bekannt gegeben, dass bisher keine Ausnutzung dieser Schwachstelle gemeldet wurde. Trotzdem wird allen Anwendern dringend empfohlen, auf EPM Version 2022 oder höher umzusteigen, da diese Versionen die betroffene Legacy Remote Control Funktion nicht mehr enthalten und somit nicht anfällig für CVE-2024-22058 sind.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: