Mehrere europäische Behörden wurden durch kritische Schwachstellen in Ivanitis Endpoint Manager Mobile kompromittiert. Die Lücken CVE-2026-1281 und CVE-2026-1340 ermöglichen Ferncode-Ausführung und werden bereits aktiv ausgenutzt.
Die Sicherheitslage rund um Edge-Geräte verschärft sich erneut dramatisch. Nachdem Ivanti am 29. Januar zwei kritische Schwachstellen in seiner Endpoint Manager Mobile (EPMM) Lösung offenlegte, folgte eine Serie von Cyberangriffen auf europäische Regierungsstellen. Die Lücken CVE-2026-1281 und CVE-2026-1340 ermöglichen beide Remote Code Execution und wurden mit dem Höchstwert von 9,8 auf der CVSS-Skala bewertet.
Die Sicherheitsbehörde CISA listete CVE-2026-1281 sofort unter ihren bekannten ausgebeuteten Schwachstellen auf. Bereits einen Tag später wurden die Europäische Kommission sowie niederländische und finnische Behörden angegriffen. Am 30. Januar fiel die zentrale Infrastruktur der EU-Kommission für neun Stunden aus — Namen und Mobilfunknummern von Mitarbeitern wurden kompromittiert. Gleichzeitig traf es Valtori, Finnlands öffentlichen IT-Dienstleister, wobei etwa 50.000 Regierungsangestellte betroffen waren.
Am 6. Februar gestand die niederländische Datenschutzbehörde (AP) und der Justizrat (Rvdr) ebenfalls Verstöße ein und nannten explizit Ivanti EPMM als Ursache. Ein koordinierter Angriff auf europäische Regierungen schien sich abzuzeichnen.
Während Ivanti am 29. Januar einen vorläufigen Patch bereitstellte, beschleunigte die öffentliche Sicherheitsmitteilung die Exploit-Entwicklung. Sicherheitsforscher von watchTowr veröffentlichten einen Proof-of-Concept bereits am nächsten Tag. Daraufhin folgte eine Welle von Angriffen, wobei Greynoise-Daten zeigen, dass ein großer Teil von einer einzelnen IP-Adresse eines bulletproof-Hosting-Services stammt — 83 Prozent aller Exploits am 9. Februar.
Das Kernproblem liegt in der tiefen Verankerung von Ivanti in Unternehmensumgebungen. Mit 40.000 Enterprise-Kunden und vielfältigen Lösungen — von Fernzugriff über Mobile-Device-Management bis Patching — ist ein schneller Ausstieg kaum machbar. Benjamin Harris, CEO von watchTowr, betont: “Das ist ein träges Unterfangen.” Gleichzeitig fragt sich, ob Konkurrenten wirklich bessere Sicherheitsbilanzen vorweisen können.
Douglas McKee von Rapid7 schlägt einen grundlegenden Paradigmenwechsel vor. Organisationen sollten ihre Perimeter-Infrastruktur wie Tier-0-kritische Systeme behandeln und mit der Annahme entwerfen, dass eine Kompromittierung unvermeidlich ist. Das bedeutet: minimale öffentliche Schnittstellen, strikte Zugriffskontrolle vor der Authentifizierung und aggressive Beschränkung der Management-Ebenen-Erreichbarkeit. Tiefgehende Telemetrie, Verhaltensüberwachung und strenge Egress-Controls sind essenziell.
Ivanti betont, dass Patches sofort eingespielt werden sollten und verweist auf bereitgestellte Indikatoren für Kompromittierung sowie ein Exploitations-Erkennungs-Skript, das gemeinsam mit dem niederländischen NCSC entwickelt wurde.
Quelle: Dark Reading