Endpoint Manager Mobile (EPMM)

Die Schwachstelle betrifft die API-Komponente von Ivanti Endpoint Manager Mobile (EPMM), einer Lösung zur Verwaltung mobiler Endgeräte in Unternehmen. Über sie kann ein Angreifer die Authentifizierung umgehen: Mit speziell präparierten API-Anfragen lässt sich auf geschützte Ressourcen zugreifen, ohne dass gültige Zugangsdaten oder eine Anmeldung erforderlich sind. Die Ursache liegt in einer unsicheren Einbindung des quelloffenen Spring-Frameworks, das EPMM intern verwendet – durch diese fehlerhafte Umsetzung greifen die eigentlich vorgesehenen Zugriffskontrollen der API nicht. Auf diese Weise gelangt ein unautorisierter Angreifer aus der Ferne an Funktionen und Daten, die normalerweise nur angemeldeten Nutzern vorbehalten sind. Da EPMM zentral die mobilen Geräte einer Organisation steuert und seine Verwaltungsschnittstelle häufig erreichbar ist, ist die API ein besonders attraktiver Angriffspunkt, über den sich weiterer Zugriff auf die verwaltete Geräteflotte erschließen lässt.