Endpoint Manager Mobile (EPMM)

Die Schwachstelle steckt in der API-Komponente von Ivanti Endpoint Manager Mobile (EPMM), einer Lösung zur Verwaltung mobiler Endgeräte in Unternehmen. Es handelt sich um eine Code-Injection: Über speziell präparierte API-Anfragen lässt sich eigener Code in die Verarbeitung einschleusen und auf dem Server zur Ausführung bringen. Ein Angreifer kann den Fehler aus der Ferne ausnutzen und auf dem betroffenen System beliebigen Code ausführen. Voraussetzung ist allerdings eine vorherige Authentifizierung – der Angreifer benötigt also gültige Zugangsdaten beziehungsweise eine bestehende Anmeldung am System. Ursache ist eine unsichere Einbindung der quelloffenen Bibliothek Hibernate Validator, deren fehlerhafte Verwendung das Einschleusen von Code überhaupt erst ermöglicht. Da EPMM zentral die Geräteflotte eines Unternehmens steuert, kann die Übernahme eines solchen Servers weitreichende Folgen für die gesamte verwaltete Mobilgeräte-Umgebung haben.