Eine kritische Schwachstelle in der Endpoint-Management-Lösung von Ivanti hat Sicherheitsforscher aufgeschreckt.
Die Verwundbarkeit mit der Kennung CVE-2024-29824 wurde ursprünglich von einem unabhängigen Forscher entdeckt und an Trend Micros Zero Day Initiative (ZDI) verkauft. Anschließend informierte ZDI den Softwarehersteller Ivanti am 3. April über den Fund.
Bei der Lücke handelt es sich um eine SQL-Injection-Schwachstelle in der zentralen Endpoint-Verwaltungssoftware des Unternehmens. Sie ermöglicht unauthentifizierten Angreifern, Remotecode auf den verwalteten Geräten auszuführen. Aufgrund des kritischen Risikos erhielt der Fehler die höchstmögliche Risikoeinstufung von 9,8 von 10 möglichen Punkten.
“Endpoint Manager läuft normalerweise mit erhöhten Rechten, sodass man damit ein Ivanti-System voll übernehmen kann”, warnt Dustin Childs, Leiter der Bedrohungsanalyse bei ZDI. “Von dort aus hätten Angreifer die Möglichkeit, auf alle anderen Systeme zuzugreifen und die Funktionen des Managers auszunutzen.”
Die Sicherheitsfirma Horizon3.ai analysierte den Fehler genauer und stellte den PoC-Exploit auf GitHub zur Verfügung. Demnach liegt die Schwachstelle in einer Funktion namens “RecordGoodApp” innerhalb einer DLL-Datei. Hier werden Nutzereingaben nicht ausreichend validiert, bevor SQL-Abfragen gebildet werden. Ein simpler Exploitversuch reichte aus, um auf einem Zielsystem die Windows-Notepad-App auszuführen.
Ivanti selbst hat inzwischen einen Patch für die kritische Lücke veröffentlicht. Experten raten dringend zum zügigen Einspielen des Updates.