Ivanti hat wichtige Sicherheitsupdates für Ivanti Connect Secure (ICS), Policy Secure (IPS) und Secure Access Client (ISAC) veröffentlicht, die mehrere Schwachstellen schließen. Diese Sicherheitslücken, die von mittelschwer bis kritisch reichen, betreffen verschiedene Angriffsvektoren und könnten u.a. zur Privilegieneskalation, Denial-of-Service (DoS) und Remotecodeausführung (RCE) führen. Aktuell sind keine Fälle bekannt, in denen Kunden betroffen waren.
Die wichtigsten Schwachstellen umfassen u.a.:
- CVE-2024-47905: Ein stackbasiertes Pufferüberlaufproblem in ICS und IPS (bis Version 22.7R2.3), das es einem authentifizierten Angreifer mit Admin-Rechten ermöglicht, ein DoS herbeizuführen (CVSS 4.9, CWE-121).
- CVE-2024-38655, CVE-2024-38656, CVE-2024-38657: Kritische Argumentinjektions-Schwachstellen (CVSS 9.1) in ICS und IPS, die eine Remotecodeausführung durch einen Angreifer mit Admin-Rechten ermöglichen.
- CVE-2024-9420: Eine Use-After-Free-Schwachstelle (CVSS 8.8, CWE-416) ermöglicht in ICS und IPS eine Remotecodeausführung durch einen authentifizierten Benutzer.
- CVE-2024-38649: Ein Out-of-Bounds-Write-Fehler in der IPsec-Komponente von ICS (CVSS 7.5), der zu einem DoS führen kann.
Ivanti hat die Schwachstellen verantwortungsvoll im Rahmen ihres Offenlegungsprogramms veröffentlicht. Die Schwachstellen betreffen nicht ältere Versionen wie 9.x, da diese nur noch im Ausnahmefall Backports erhalten.
Ivanti empfiehlt allen betroffenen Kunden dringend, auf die neueste Version zu aktualisieren:
- Ivanti Connect Secure: Version 22.7R2.3
- Ivanti Policy Secure: Version 22.7R1.2
- Ivanti Secure Access Client: Version 22.7R4
Die Updates stehen über das Ivanti-Portal zur Verfügung und schließen die genannten Sicherheitslücken. Für Nutzer älterer Versionen, die bald das Ende des Supports erreichen, wird ein Upgrade empfohlen, um den Sicherheitsstandard zu gewährleisten.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: