SchwachstellenHackerangriffeCloud-Sicherheit

Ivanti warnt vor kritischer Sicherheitslücke in EPMM – Zero-Day-Angriffe aktiv

Von CyberDeutsch Redaktion
Ivanti warnt vor kritischer Sicherheitslücke in EPMM – Zero-Day-Angriffe aktiv
Zusammenfassung

Der Mobile-Device-Management-Hersteller Ivanti warnt vor einer weiteren kritischen Sicherheitslücke in seiner Endpoint Manager Mobile (EPMM) Software, die bereits aktiv ausgenutzt wird. Die als CVE-2026-6973 registrierte Schwachstelle ermöglicht es Angreifern mit administrativen Rechten, beliebigen Code auf betroffenen Systemen auszuführen. Das Unternehmen bestätigt, dass die Lücke bereits in limitiertem Umfang in Zero-Day-Angriffen ausgenutzt wird. Besonders bemerkenswert ist, dass die Internet-Sicherheitsorganisation Shadowserver über 850 weltweit erreichbare EPMM-Installationen aufgedeckt hat, von denen sich über 500 in Europa befinden. Gleichzeitig hat Ivanti vier weitere kritische Vulnerabilities in demselben Produkt gepatcht. Für deutsche Unternehmen und Behörden, die EPMM einsetzen, ist schnelles Handeln erforderlich: Sie sollten sofort die bereitgestellten Patches einspielen, insbesondere da Ivanti selbst das Risiko für bereits kompromittierte Systeme erhöht sieht. Angesichts der Tatsache, dass EPMM von über 40.000 Kunden weltweit genutzt wird und die Lücke administrativen Zugriff erfordert, sollten auch Berechtigungen überprüft und Anmeldedaten erneuert werden.

Die neu entdeckte Schwachstelle CVE-2026-6973 basiert auf einer unzureichenden Eingabevalidierung und betrifft Ivanti EPMM in den Versionen 12.8.0.0 und früher. Das Unternehmen hat bereits Patches bereitgestellt: Version 12.6.1.1, 12.7.0.1 und 12.8.0.1 sollen die Lücke schließen. Nach Ivantis eigenen Angaben sind bisher nur sehr wenige Fälle bekannt, bei denen die Schwachstelle aktiv ausgenutzt wurde. Dies liegt daran, dass der Angreifer Administratorrechte benötigt – allerdings sind solche Konten in vielen Organisationen nicht ausreichend geschützt oder zirkulieren nach früheren Breaches noch in Hacker-Foren.

Parallel zur CVE-2026-6973 hat Ivanti vier weitere hochkritische Schwachstellen in EPMM gepatcht: CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 und CVE-2026-7821. Diese ermöglichen es Angreifern, Admin-Zugang zu erlangen, Sentry-Hosts zu imitieren, beliebige Methoden aufzurufen oder auf eingeschränkte Informationen zuzugreifen. Für letztere gibt es bislang keine Hinweise auf Missbrauch in der Praxis.

Der Vorfall reiht sich in eine Serie von EPMM-Schwachstellen ein, die Ivanti in den letzten Monaten geplagt haben. Im Januar waren zwei kritische Code-Injection-Lücken (CVE-2026-1281 und CVE-2026-1340) öffentlich geworden und wurden ebenfalls aktiv angegriffen. Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) zwang amerikanische Behörden damals, ihre Systeme innerhalb von vier Tagen zu patchen. Insgesamt hat CISA bisher 33 Ivanti-Schwachstellen als aktiv ausgebeutet eingestuft, 12 davon wurden auch von Ransomware-Banden missbraucht.

Das ist ein erhebliches Vertrauensproblem für Ivanti: Das Unternehmen bedient über 40.000 Kunden weltweit durch ein Netz von 7.000 Partnern. Deutsche Unternehmen und öffentliche Verwaltungen gehören zum Kundenkreis. Für sie gilt: Schnell patchen ist keine Empfehlung, sondern ein Gebot. Gleichzeitig sollten Administratorkonten überprüft und Passwörter rotiert werden – eine Lektion, die Ivanti bereits bei den Januar-Lücken gelernt hat.

Die Tatsache, dass Ivanti sich auf die On-Premise-Version von EPMM beschränkt – die Cloud-Lösung Ivanti Neurons for MDM ist nicht betroffen – bietet kleinen Trost. Viele Unternehmen betreiben EPMM noch lokal, insbesondere in sensiblen Bereichen wie dem Finanzsektor oder der öffentlichen Verwaltung.

Ähnliche Artikel