Ivanti heeft vandaag een beveiligingsupdate uitgebracht die verschillende kwetsbaarheden in Endpoint Manager (EPM) verhelpt, waaronder een authentication bypass kwetsbaarheid. Via dit beveiligingslek (CVE-2026-1603) kan een ongeauthenticeerde aanvaller op afstand toegang krijgen tot specifieke opgeslagen "credential data". Verdere technische details zijn niet gegeven. Volgens Ivanti maken aanvallers geen misbruik van de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 8.6.

Via Ivanti Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren, waaronder het installeren van software en updates. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan dan ook vergaande gevolgen hebben. Ivanti EPM is in het verleden meerdere keren doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was.

Naast de authentication bypass is ook een SQL-injection kwetsbaarheid verholpen, alsmede elf beveiligingslekken die vorig jaar oktober al door securitybedrijf ZDI werden onthuld. Het gaat onder andere om kwetsbaarheden die remote code execution (RCE) mogelijk maken. Het Zero Day Initiative (ZDI) rapporteerde de RCE-kwetsbaarheden vorig jaar juni aan Ivanti. Vervolgens kreeg Ivanti drie maanden om de problemen te verhelpen.

Ivanti liet in eerste instantie aan ZDI weten dat de kwetsbaarheden in september zouden worden gepatcht. Eind september meldde Ivanti aan het securitybedrijf dat de beveiligingsupdates voor de lekken pas in maart van dit jaar zouden verschijnen. Vandaag meldt Ivanti dat de problemen zijn opgelost. Ivanti kwam de afgelopen dagen ook in het nieuws wegens actief aangevallen kwetsbaarheden in een ander product, Endpoint Manager Mobile.