Endpoint Manager Cloud Service Appliance (EPM CSA)

Die Schwachstelle steckt in der Cloud Services Appliance (CSA) von Ivanti Endpoint Manager, einer Appliance, die als Bindeglied zwischen verwalteten Geräten außerhalb des Firmennetzes und dem zentralen Verwaltungsserver dient und dazu typischerweise aus dem Internet erreichbar ist. Es handelt sich um eine Code-Injection-Schwachstelle: Ein Angreifer kann eigenen Programmcode einschleusen, den die Appliance anschließend ausführt. Ausnutzen lässt sich das aus der Ferne und ohne vorherige Anmeldung – gültige Zugangsdaten oder eine Benutzerinteraktion sind nicht erforderlich. Allerdings läuft der eingeschleuste Code nur mit eingeschränkten Rechten, nämlich unter dem unprivilegierten Systemkonto „nobody“. Eine direkte vollständige Übernahme des Systems ergibt sich daraus zunächst nicht, doch verschafft der Angreifer sich damit einen ersten Zugang auf der Appliance, der als Ausgangspunkt für weitere Angriffsschritte dienen kann. Betroffen sind aus dem Netz erreichbare CSA-Installationen.