Ivanti Endpoint Manager: Zero Day Initiative veröffentlicht 13 Zero-Days

In Ivantis Endpoint Manager (EPM) steckten schwere Sicherheitslücken, die das Unternehmen seit Monaten kennt – und dennoch erst in einem halben Jahr beheben wollte. Das war Trend Micros Zero Day Initiative (ZDI) zu lang – sie veröffentlicht die Lücken nun als „Zero Days“. Im Fehlerkatalog tummeln sich elf SQL Injections, eine Pfadlücke und einmal Deserialisierung nicht vertrauenswürdiger Daten.

Ivanti hat keine Zeit, ZDI reagiert

Bemerkenswert ist, wie die Veröffentlichung durch die ZDI zustande kam. Die Zero-Day-Initiative ist üblicherweise doch eher dafür bekannt, mit Herstellern zusammenzuarbeiten und diese nicht durch Zero-Day-Veröffentlichungen unter Druck zu setzen. Im aktuellen Fall hingegen hat ZDI offenkundig schlicht die Geduld mit Ivanti verloren.

Die hatten nämlich bereits im Mai respektive Juni dieses Jahres von den Sicherheitslücken erfahren. ZDI meldet diese üblicherweise nebst detaillierter Anleitungen (Proof of Concept) zunächst an die Hersteller. Ivanti hingegen tat anfänglich offenkundig wenig, um die Probleme zu beheben. In einigen Fällen meldeten sie ZDI ihre Absicht, im September Aktualisierungen zu veröffentlichen, zogen diese dann aber wenige Tage später zurück. In anderen Fällen reagierte das Unternehmen zunächst überhaupt nicht.

Ende Juli bat Ivanti die ZDI dann um eine Verlängerung der Frist zur Behebung der dreizehn Sicherheitslücken. Und nicht um ein paar Tage oder Wochen – nein, man wollte nun erst im März 2026 für Abhilfe sorgen. Angesichts der Auswirkungen der Fehler eine wenig nachvollziehbare Entscheidung. Die sind zwar allesamt nur durch angemeldete Nutzer ausnutzbar, entfalten aber als Teil einer Exploit-Kette hohes Gefahrenpotential.

ZDI entschied sich dann Ende September, alle Lücken als „Zero Days“ zu veröffentlichen und hat dieser Entscheidung Taten folgen lassen. Wer Ivanti Endpoint Manager einsetzt, sollte also wachsam sein: Zwar enthalten die knappen Sicherheitsmeldungen auf der ZDI-Seite keine Details, doch dürften Exploit-Schreiber weltweit jetzt zumindest recht genau wissen, wo sie zu suchen haben. Ob Ivanti sich der Fehler doch kurzfristig, etwa im in den nächsten Tagen erwarteten monatlichen Sicherheitsupdate, annehmen wird, ist bis dato unklar.

Die Lücken im Einzelnen:

• ZDI-CAN-26834: OnSaveToDB Directory Traversal Remote Code Execution Vulnerability, CVSS 8.8 (Risiko „hoch„)
• ZDI-CAN-25369: AgentPortal Deserialization of Untrusted Data Local Privilege Escalation Vulnerability, CVSS 7.8 (hoch),
• ZDI-CAN-26859: Report_RunPatch SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26857: MP_Report_Run2 SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26866: DBDR SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26865: PatchHistory SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26864: MP_QueryDetail2 SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26862: GetCountForQuery SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26861: MP_QueryDetail SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26860: MP_VistaReport SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26858: Report_RunPatch SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch),
• ZDI-CAN-26856: Report_Run SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch) und
• ZDI-CAN-26855: Report_Run2 SQL Injection Remote Code Execution Vulnerability, CVSS 7.2 (hoch).

CVE-IDs für die Sicherheitslücken existieren bislang noch nicht, daher listen wir sie ausnahmsweise anhand ihrer ZDI-CAN-Nummer auf.

Ivanti-Schwachstellen gehören zu solchen, die Kriminelle in ihre Exploit-Baukästen aufnehmen, versprechen erfolgreiche Attacken darauf doch weitreichenden Zugriff in Netzwerken. Im Mai meldete Ivanti etwa aktive Angriffe auf Ivantis EPMM.

(cku)