Ivanti schließt 13 Sicherheitslücken in Endpoint Manager

Ivanti hat im Oktober 2025 insgesamt 13 Sicherheitslücken im Endpoint Manager (EPM) bekannt gegeben. Zwei davon stuft das Unternehmen als kritisch ein, da sie eine Rechteausweitung und die Ausführung von Remote-Code ermöglichen könnten. Die übrigen elf Schwachstellen betreffen SQL-Injections mittlerer Schwere.

Laut Ivanti gibt es derzeit keine Hinweise auf eine aktive Ausnutzung. Das Unternehmen fordert seine Kunden jedoch auf, auf die neueste unterstützte Version umzusteigen und empfohlene Schutzmaßnahmen umzusetzen, da sich die Patches noch in Entwicklung befinden.

EPM 2022 hat im Oktober 2025 das Ende seiner Lebensdauer erreicht. Ivanti betont, dass die Version EPM 2024 wesentliche Sicherheitsverbesserungen enthält, die das Risiko deutlich reduzieren.

Die Fehlerbehebungen werden in zwei Phasen ausgeliefert: Die Korrekturen zu unsicherer Deserialisierung und Pfadüberquerung sollen mit EPM 2024 SU4 am 12. November 2025 erscheinen. Die Beseitigung der SQL-Injection-Lücken ist für EPM 2024 SU5 im ersten Quartal 2026 geplant. Bis dahin empfiehlt Ivanti, Workarounds einzusetzen, um das Risiko zu minimieren.

Die schwerwiegendsten Lücken sind CVE-2025-11622, eine unsichere Deserialisierung, die lokal authentifizierten Angreifern eine Privilegienerweiterung erlaubt (CVSS 7.8, CWE-502), und CVE-2025-9713, ein Pfadüberlauf, der unter bestimmten Bedingungen eine Remote-Codeausführung ermöglicht (CVSS 8.8, CWE-22). Die elf weiteren Schwachstellen sind SQL-Injections (CVSS 6.5, CWE-89), die authentifizierten Nutzern das Auslesen beliebiger Datenbankdaten erlauben.

Ivanti weist darauf hin, dass Kunden mit EPM 2024 SU3 SR1 ein geringeres Risiko bei CVE-2025-11622 haben. Systeme ohne dieses Update sollten den Zugriff über Firewalls einschränken, den Fernzugriff auf hohe TCP-Ports blockieren und den EPM-Core-Server ausschließlich lokalen Administratoren zugänglich machen.

Für CVE-2025-9713 rät Ivanti, keine nicht vertrauenswürdigen Konfigurationsdateien zu importieren. Falls dies unvermeidbar ist, sollte der Inhalt zuvor überprüft werden. Bei der SQL-Injection-Serie kann das Entfernen des Berichtsdatenbank-Benutzers die Angriffsfläche reduzieren, führt jedoch zur Deaktivierung der Berichtsfunktion.

Betroffen sind Versionen bis EPM 2024 SU3 SR1 und älter. Für EPM 2022 SU8 SR2 und frühere Ausgaben endet der Support; ein Update auf EPM 2024 wird empfohlen. Unternehmen sollten zudem Administratorrechte prüfen, Firewall-Regeln verschärfen und ungesicherte Importe vermeiden.

Ivanti dankt dem Sicherheitsforscher 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044, der in Zusammenarbeit mit der Zero Day Initiative von Trend Micro alle Schwachstellen gemeldet hat.

Abhilfe oder Workaround

• Unsichere Deserialisierung (CVE-2025-11622)

• Das Risiko dieser Sicherheitslücke ist für Kunden, die Ivanti EPM 2024 SU3 SR1 verwenden, erheblich reduziert.

• Wenn Kunden noch nicht auf EPM 2024 SU3 SR1 umgestellt haben, sollten sie eine zuverlässige Firewall mit einer Whitelist-Konfiguration verwenden, um den Fernzugriff auf beliebige TCP-Ports im hohen Bereich zu verhindern.

• In Übereinstimmung mit den Best Practices und den Empfehlungen von Ivanti (Anmeldung erforderlich) sollten Kunden nur EPM-Administratoren den lokalen Zugriff auf den EPM Core-Server gestatten.

• Pfadüberschreitung (CVE-2025-9713)

• Gemäß den Best Practices und den Empfehlungen von Ivanti sollten Kunden keine nicht vertrauenswürdigen Konfigurationsdateien in Ihren EPM Core-Server importieren. Wenn ein Kunde sich dafür entscheidet, nicht vertrauenswürdige Konfigurationsdateien zu importieren, sollte er den Inhalt der Datei immer sorgfältig überprüfen, um sicherzustellen, dass sie nur das enthält, was erwartet wird.

• Es ist wichtig zu beachten, dass das Importieren nicht vertrauenswürdiger Konfigurationsdateien immer ein Risiko für einen EPM Core-Server darstellt.

• SQL-Injection (CVE-2025-11623, CVE-2025-62392, CVE-2025-62390, CVE-2025-62389, CVE-2025-62388, CVE-2025-62387, CVE-2025-62385, CVE-2025-62391, CVE-2025-62383, CVE-2025-62386, CVE-2025-62384)

• EPM-Administratoren können den Benutzer der Berichtsdatenbank aus ihrer Konfiguration entfernen, um diese Sicherheitslücken zu beheben. Allerdings wird dadurch die Berichtsfunktion deaktiviert, da ein Benutzer der Berichtsdatenbank erforderlich ist, um Berichte in EPM auszuführen.

FAQ

Ist Ihnen bekannt, dass diese Schwachstellen aktiv ausgenutzt werden?

Uns ist nicht bekannt, dass Kunden vor der öffentlichen Bekanntgabe dieser Schwachstellen ausgenutzt wurden. Diese Schwachstellen wurden im Rahmen unseres Programms zur verantwortungsvollen Offenlegung bekannt gegeben.

Wie kann ich feststellen, ob ich kompromittiert wurde?

Derzeit ist keine öffentliche Ausnutzung dieser Schwachstellen bekannt, die zur Erstellung einer Liste mit Kompromittierungsindikatoren herangezogen werden könnte.

Was soll ich tun, wenn ich Hilfe benötige? 

Wenn Sie nach Durchsicht dieser Informationen noch Fragen haben, können Sie über das Success Portal einen Fall protokollieren und/oder einen Rückruf anfordern.

Warum veröffentlicht Ivanti diese Sicherheitslücken, wenn noch kein Fix verfügbar ist?

Diese Sicherheitslücken wurden ursprünglich von ZDI veröffentlicht. Ivanti veröffentlicht sie nun, um unseren Kunden Möglichkeiten zur Risikominderung anzubieten.

Was kann ich tun, um meine Umgebung zu schützen?

Kunden, die die neueste Version, Ivanti EPM 2024 SU3 SR1, verwenden, haben aufgrund wichtiger Sicherheitsverbesserungen, die Ivanti an dem Produkt vorgenommen hat, ein deutlich geringeres Risiko für ihre Umgebung. Darüber hinaus haben wir oben Hinweise zur Risikominderung bereitgestellt.

Warum ist die Behebung der SQL-Injection-Sicherheitslücken für das erste Quartal 2026 geplant? Kann Ivanti eine Lösung früher bereitstellen?

Diese Probleme sind kompliziert zu beheben, ohne die Funktionalität des Produkts zu beeinträchtigen, weshalb die Behebung des Problems zusätzliche Zeit in Anspruch nehmen wird. Unser Ziel ist es, stets ein Gleichgewicht zwischen Geschwindigkeit und Qualität zu finden, wobei die Sicherheit unserer Kunden im Mittelpunkt dieser Entscheidung steht.

Vielleicht auch spannend für Sie

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky