Ivanti legte die beiden EPMM-Schwachstellen am 29. Januar offen. CVE-2026-1281 und CVE-2026-1340 ähneln sich in ihrer Natur: Beide ermöglichen die Ausführung von Schadcode aus der Ferne, beide tragen den CVSS-Wert 9,8. Zum Zeitpunkt der Bekanntgabe sei bei einer sehr begrenzten Kundenzahl bereits eine Ausnutzung erfolgt, teilte das Unternehmen mit. CISA führte CVE-2026-1281 anschließend in ihrer Liste bekannter ausgenutzter Schwachstellen.
Einen Tag später trafen mit EPMM verbundene Angriffe die Europäische Kommission sowie Behörden in den Niederlanden und Finnland. Am selben Tag beschrieben Forscher von watchTowr öffentlich einen Proof-of-Concept-Exploit. Seither beteiligten sich weitere Angreifer, wobei ein großer Teil der Attacken laut Daten von Greynoise auf eine einzelne, nicht identifizierte Quelle zurückging.
Am 30. Januar wurde die Europäische Kommission Ziel eines Angriffs auf ihre “zentrale Infrastruktur zur Verwaltung mobiler Geräte”. Die Attacke dauerte neun Stunden; Namen und Mobilfunknummern von Mitarbeitern wurden kompromittiert, eine direkte Kompromittierung mobiler Geräte wurde jedoch nicht festgestellt. Am selben Tag traf ein gleichartiger Angriff Valtori, den staatlichen Dienstleister für verwaltete IT-Dienste in Finnland. Dort waren rund 50.000 mit der Zentralregierung verbundene Personen betroffen; abgeflossen sind Namen, E-Mail-Adressen, Telefonnummern und weitere Gerätedaten.
Valtori und die Europäische Kommission machten ihre Vorfälle am 5. Februar publik, ohne EPMM ausdrücklich zu benennen. Valtori sprach von einer Schwachstelle in einem “kommerziellen Dienst zur Verwaltung mobiler Geräte”, die am 29. Januar offengelegt worden war. Dark Reading bestätigte im Zuge der Recherche, dass die Europäische Kommission tatsächlich über EPMM kompromittiert wurde. Am 6. Februar räumten mit der niederländischen Datenschutzbehörde (AP) und dem Rat für die Rechtsprechung (Rvdr) zwei weitere Behörden Sicherheitsvorfälle ein und nannten Ivanti EPMM offener als Ursache.
Nach der scheinbar koordinierten Kampagne registrierte Shadowserver eine umfangreichere Welle von Angriffsversuchen gegen Ivanti EPMM rund um den 9. Februar. Greynoise stellte fest, dass keiner der von Ivanti selbst veröffentlichten Kompromittierungsindikatoren mit diesem Anstieg übereinstimmte, und führte 83 Prozent davon auf eine einzige IP-Adresse eines kugelsicheren Hosting-Dienstes zurück. Diese Adresse sei zum Veröffentlichungszeitpunkt am 12. Februar “weiterhin generell aktiv” gewesen.
Douglas McKee, Leiter Schwachstellen-Aufklärung bei Rapid7, rät Organisationen, über das Prinzip “patchen und hoffen” hinauszugehen und Perimeter-Infrastruktur von vornherein unter der Annahme einer späteren Kompromittierung zu entwerfen. Dazu gehöre, unnötige öffentliche Schnittstellen zu beseitigen, Zugriffskontrollen vor der Authentifizierung durchzusetzen und die Erreichbarkeit der Verwaltungsebene stark einzuschränken. Perimeter- und Verwaltungssysteme seien als Tier-0-Infrastruktur zu behandeln.
Benjamin Harris, CEO von watchTowr, verweist darauf, dass ein Austausch von Technik wie Ivanti schwieriger sei, als es klinge: Die Produkte seien tief in den Umgebungen von 40.000 Unternehmenskunden verankert und böten Fernzugriff, Verwaltung mobiler Geräte, Patching und Endpunktverwaltung. Zugleich fragt er, welcher Wettbewerber eine bessere Bilanz vorweisen könne.
Ein Sprecher von Ivanti erklärte gegenüber Dark Reading, Kunden, die noch nicht gepatcht hätten, sollten dies umgehend tun und ihre Appliance anschließend auf Anzeichen einer vorherigen Ausnutzung prüfen. Das Einspielen des Patches sei die wirksamste Maßnahme, erfordere keine Ausfallzeit und dauere nur Sekunden. Ivanti habe seinen Kunden Kompromittierungsindikatoren, eine technische Analyse sowie ein gemeinsam mit dem NCSC NL entwickeltes Skript zur Erkennung von Ausnutzung bereitgestellt.
