SchwachstellenHackerangriffeCyberkriminalität

CISA ordnet Notfall-Patches an: Kritische Ivanti-Lücke wird aktiv ausgenutzt

CISA ordnet Notfall-Patches an: Kritische Ivanti-Lücke wird aktiv ausgenutzt
Zusammenfassung

Eine kritische Sicherheitslücke in Ivantin Endpoint Manager Mobile (EPMM) hat die US-amerikanische Cybersecurity- und Infrastruktur-Sicherheitsbehörde CISA zum Handeln bewogen. Die als CVE-2026-1340 klassifizierte Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung Fernzugriff auf ungepatche EPMM-Systeme zu erlangen und Code auszuführen. Seit Januar wird diese Lücke aktiv in Cyberangriffen ausgenutzt, weshalb CISA alle US-Bundesbehörden aufgefordert hat, ihre Systeme bis zum 11. April zu sichern. Der Softwarehersteller Ivanti hatte die Schwachstelle bereits Ende Januar öffentlich gemacht und Sicherheitsupdates bereitgestellt. Allerdings sind Sicherheitsexperten besorgt: Rund 950 EPMM-Systeme sind weiterhin online und möglicherweise nicht gepatcht, der Großteil davon in Europa. Für deutsche Nutzer und Unternehmen ist diese Warnung besonders relevant, da Ivanti mit über 40.000 Kunden weltweit eine breite Kundenbasis beliefert und die Schwachstelle auch außerhalb der US-Regierungsstrukturen zu einem erheblichen Sicherheitsrisiko darstellt. Organisationen sollten dringend überprüfen, ob sie EPMM einsetzen, und umgehend Updates einspielen.

Die Schwachstelle CVE-2026-1340 zählt zu den gefährlichsten Sicherheitslücken überhaupt: Sie ermöglicht unauthentifizierte Remote Code Execution, also die Übernahme von Systemen ohne vorherige Anmeldung. Besonders besorgniserregend ist, dass Cyberkriminelle diese Lücke bereits in der freien Natur ausnutzen – nicht als theoretisches Risiko, sondern als aktive Angriffswaffe.

Ivanti war nicht untätig: Das Unternehmen veröffentlichte am 29. Januar Sicherheits-Updates und ermunterte seine über 40.000 Kunden weltweit zum sofortigen Update. Gleichzeitig meldete Ivanti eine zweite ausgenutzte Schwachstelle (CVE-2026-1281). Trotz dieser Warnung blieben Tausende Systeme ungepatcht – ein für die Cybersicherheit typisches Problem.

Die Reaktion der CISA war unmissverständlich. Am Montag wurde CVE-2026-1340 in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen. Für US-Bundesbehörden gilt eine Binding Operational Directive: Patches müssen bis Samstag Mitternacht (11. April) eingespielt sein. Dies ist nicht bloße Empfehlung, sondern bindende Anweisung.

Shadowserver dokumentiert die globale Bedrohungslage: Fast 950 verwundbare Systeme sind noch online sichtbar, 569 davon in Europa, 206 in Nordamerika. Die tatsächliche Zahl ungesicherter Systeme liegt wahrscheinlich höher, da nicht alle Installationen exponiert sind.

Weshalb sind Ivanti-Lücken so gefährlich? Das Unternehmen bedient ein Kerngebiet der IT-Infrastruktur: Endpoint Manager Mobile wird von Regierungsagenturen und großen Unternehmen zur Verwaltung mobiler Geräte eingesetzt. CISA zählt insgesamt 33 Ivanti-Vulnerabilities, die in realen Angriffen ausgenutzt wurden – 12 davon durch Ransomware-Operationen.

Für deutsche Organisationen gilt: CISA empfiehlt ausdrücklich auch dem privaten Sektor, CVE-2026-1340 als höchste Priorität zu behandeln. Die Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ähnliche Warnungen ausgeben. Unternehmen, die Ivanti EPMM nutzen, sollten Patches unverzüglich einspielen – oder alternativ gemäß CISA-Anweisung die betroffenen Systeme vom Netz nehmen.

Dies ist kein Einzelfall: Ivanti-Produkte sind in den letzten Jahren regelmäßig Ziel von Zero-Day-Exploits geworden, einschließlich Angriffen durch staatliche Akteure. Die wiederholten Sicherheitslücken deuten auf Grundprobleme im Produktdesign hin.

Ähnliche Artikel