Ivanti ITSM-Schwachstelle ermöglicht Angreifern Admin-Rechte

Laut Ivanti kann ein entfernter, authentisierter Angreifer diese Verwundbarkeit ausnutzen, ohne dass eine weitere Interaktion durch den Benutzer erforderlich ist. Dadurch wird eine unbefugte Erhöhung der Berechtigungen auf Administratorniveau ermöglicht.

Der CVSS-Vektor verdeutlicht, dass der Angriff über das Netzwerk mit geringer Komplexität und begrenzten Privilegien durchgeführt werden kann. Ein erfolgreicher Angriff könnte die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Systeme beeinträchtigen.

Die Plattform „Ivanti Neurons for ITSM" wird weit verbreitet für IT-Service-Management-Workflows eingesetzt, darunter Ticketing, Asset-Tracking und Automatisierung.

Technischer Hintergrund

Administrativer Zugriff auf solche Plattformen kann sensible Organisationsdaten gefährden und Angreifern ermöglichen, Systemkonfigurationen zu manipulieren oder persistente Hintertüren einzurichten.

Beispielsweise könnte ein Angreifer, der über kompromittierte Low-Level-Zugangsdaten verfügt, CVE-2026-9614 ausnutzen, um Berechtigungen zu eskalieren und Benutzerrollen zu ändern. Dies würde ihm effektiv die Kontrolle über die gesamte ITSM-Umgebung verschaffen. Die Sicherheitslücke betrifft On-Premises-Versionen 2025.4 sowie alle älteren Versionen.

Ivanti hat Patches veröffentlicht, um das Problem in Version 2025.4 Patch 1 zu beheben. Zudem wurden rückportierte Fixes für Version 2025.3 Patch 1 und 2025.2 Patch 1 bereitgestellt. Organisationen, die sind, werden dringend aufgefordert, unverzüglich über das Ivanti License System Portal zu aktualisieren.

Sicherheitslage und Risiko

Für Cloud-Kunden wurden die Sicherheitsupdates bereits in allen Umgebungen angewendet. Das Unternehmen bestätigte, dass die Patches während der Updates vom 24. und 25. Mai bereitgestellt wurden. Dies betrifft speziell die Versionen 2026.1 Patch 9 und 2026.2 Patch 1.

Anschließend wurden weitere Updates veröffentlicht, um ein separates Problem bei der Protokollierung zu beheben, das die Verfolgung ächtigt. Dieses sekundäre Problem steht jedoch nicht in Zusammenhang mit der Kernverwundbarkeit.

Zum Zeitpunkt der Offenlegung gab Ivanti an, dass keine Hinweise auf eine aktive Ausnutzung der Schwachstelle in der Wildnis vorlägen. Angesichts der einfachen Ausnutzbarkeit und des potenziellen Schadensverursachens veröffentlichte das Unternehmen eine außerordentliche Sicherheitswarnung, um die Bemühungen zur Behebung zu beschleunigen.

Technischer Hintergrund

Ivanti wies zudem darauf hin, dass derzeit keine öffentlich verfügbaren Indikatoren für Kompromittierungen mit dieser Verwundbarkeit bekannt sind. Als Vorsichtsmaßnahme wird Organisationen empfohlen, rollenbasierte Zugriffsrechte zu überprüfen und sicherzustellen, dass administrative Berechtigungen nur für beabsichtigte Benutzer eingeschränkt sind.

Falsch konfigurierte Rollen könnten die Exposition erhöhen und die Ausnutzung erleichtern. Sicherheitsteams sollten die Priorität auf das zeitnahe Patchen setzen und interne Überprüfungen der Zugriffsrechte in ihren ITSM-Implementierungen durchführen.

Angesichts der kritischen Rolle, die diese Plattformen für Unternehmensoperationen spielen, ist eine rechtzeitige Behebung unerlässlich, um einen potenziellen Missbrauch durch Angreifer zu verhindern.