Laut Ivanti kann die erfolgreiche Ausnutzung zu nicht authentifizierter Codeausführung aus der Ferne führen. Zum Zeitpunkt der Offenlegung sei dem Unternehmen „eine sehr begrenzte Zahl" von Kunden bekannt gewesen, deren Lösung bereits ausgenutzt worden sei.

Die Internet-Beobachtungsgruppe Shadowserver verzeichnet derzeit nahezu 950 IP-Adressen mit Merkmalen von Ivanti EPMM, die weiterhin online erreichbar sind. Der Großteil davon entfällt auf Europa (569) und Nordamerika (206). Wie viele dieser Systeme bereits gepatcht wurden, ist allerdings nicht bekannt.

Mit der Aufnahme in den KEV-Katalog gilt für die zivilen Bundesbehörden (FCEB) die Frist bis zum 11. April. „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar", warnte CISA. Behörden sollten die Gegenmaßnahmen des Herstellers anwenden, die geltenden Vorgaben der Direktive 22-01 für Cloud-Dienste befolgen oder das Produkt einstellen, falls keine Gegenmaßnahmen verfügbar seien.

Obwohl die Direktive 22-01 nur für US-Bundesbehörden gilt, riet CISA allen Verteidigern, auch jenen im privaten Sektor, das Einspielen der Patches für CVE-2026-1340 vorrangig zu behandeln und ihre Geräte so schnell wie möglich abzusichern.

Ivanti-Schwachstellen sind in den vergangenen Jahren mehrfach über Zero-Day-Angriffe ausgenutzt worden, um ein breites Spektrum von Zielen zu kompromittieren, darunter Behörden weltweit. Insgesamt hat CISA bislang 33 Ivanti-Schwachstellen als in Angriffen ausgenutzt eingestuft; zwölf davon wurden von verschiedenen Ransomware-Gruppen verwendet.

Ivanti stellt Produkte für das IT-Asset-Management bereit und bedient nach eigenen Angaben über 40.000 Kunden über ein Netzwerk von mehr als 7.000 Partnern weltweit.