Am 13. August 2024 hat Ivanti Sicherheitsupdates für Ivanti Neurons for ITSM veröffentlicht, die zwei schwerwiegende Sicherheitslücken adressieren: eine kritische Informations-Disclosure (CVE-2024-7569) und eine hochriskante fehlerhafte Zertifikatsvalidierung (CVE-2024-7570). Diese Schwachstellen betreffen ausschließlich On-Premises-Installationen, die OIDC-Authentifizierung nutzen. Cloud-Kunden sind bereits durch automatische Updates seit dem 4. August geschützt.
Die kritische Sicherheitslücke CVE-2024-7569 ermöglicht es einem unauthentifizierten Angreifer, OIDC-Client-Geheimnisse über Debug-Informationen zu erlangen (CVSS-Score 9,6). Die hochriskante Schwachstelle CVE-2024-7570 (CVSS-Score 8,3) erlaubt einem Angreifer in einer Man-in-the-Middle-Position, ein gefälschtes Token zu erstellen und sich als beliebiger Benutzer Zugang zu verschaffen.
Ivanti betont, dass bisher keine Ausnutzung dieser Schwachstellen bekannt ist und rät On-Premises-Kunden dringend, die bereitgestellten Patches umgehend zu installieren, um die Sicherheit ihrer Systeme zu gewährleisten.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: