Patch für kritische Sicherheitslücken in Ivanti Neurons für ITSM veröffentlicht
Am 13. August 2024 hat Ivanti Sicherheitsupdates für Ivanti Neurons for ITSM veröffentlicht, die zwei schwerwiegende Sicherheitslücken adressieren: eine kritische Informations-Disclosure (CVE-2024-7569) und eine hochriskante fehlerhafte Zertifikatsvalidierung (CVE-2024-7570). Diese Schwachstellen betreffen ausschließlich On-Premises-Installationen, die OIDC-Authentifizierung nutzen. Cloud-Kunden sind bereits durch automatische Updates seit dem 4. August geschützt.
Die kritische Sicherheitslücke CVE-2024-7569 ermöglicht es einem unauthentifizierten Angreifer, OIDC-Client-Geheimnisse über Debug-Informationen zu erlangen (CVSS-Score 9,6). Die hochriskante Schwachstelle CVE-2024-7570 (CVSS-Score 8,3) erlaubt einem Angreifer in einer Man-in-the-Middle-Position, ein gefälschtes Token zu erstellen und sich als beliebiger Benutzer Zugang zu verschaffen.
Ivanti betont, dass bisher keine Ausnutzung dieser Schwachstellen bekannt ist und rät On-Premises-Kunden dringend, die bereitgestellten Patches umgehend zu installieren, um die Sicherheit ihrer Systeme zu gewährleisten.