Ivanti schließt aktiv ausgenutzte Zero-Day-Lücke in Endpoint Manager Mobile

Im Zentrum der Warnung steht CVE-2026-6973, eine Schwachstelle zur Remote-Code-Ausführung in Endpoint Manager Mobile. Sie geht auf eine unzureichende Eingabevalidierung zurück und betrifft EPMM 12.8.0.0 sowie ältere Versionen. Für eine erfolgreiche Ausnutzung müssen sich Angreifer zuvor administrativ authentifizieren. Nach Angaben von Ivanti ist zum Zeitpunkt der Veröffentlichung nur eine sehr begrenzte Ausnutzung bekannt; für die übrigen am selben Tag offengelegten Lücken liegen keine Hinweise auf Angriffe vor.

Abhilfe schaffen laut Hersteller die Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1. Zusätzlich empfiehlt Ivanti, Konten mit Administratorrechten zu prüfen und die entsprechenden Zugangsdaten bei Bedarf zu rotieren. Betroffen ist ausdrücklich nur das On-Premises-Produkt EPMM, nicht jedoch Ivanti Neurons for MDM, das gleich klingende, aber andere Produkt Ivanti EPM, Ivanti Sentry oder weitere Ivanti-Produkte.

Der Sicherheitsdienst Shadowserver registriert aktuell über 850 online exponierte IP-Adressen mit EPMM-Kennungen, davon 508 in Europa und 182 in Nordamerika. Wie viele dieser Systeme bereits gegen Angriffe auf CVE-2026-6973 abgesichert sind, ist nicht bekannt.

Parallel hat Ivanti vier weitere hochriskante EPMM-Schwachstellen geschlossen: CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 und CVE-2026-7821. Sie können Angreifern ermöglichen, Administratorzugriff zu erlangen, registrierte Sentry-Hosts zu imitieren und damit gültige, CA-signierte Client-Zertifikate zu erhalten, beliebige Methoden aufzurufen sowie auf eingeschränkte Informationen zuzugreifen. Für diese Lücken sieht das Unternehmen keine Belege für eine Ausnutzung. CVE-2026-7821, die sich ohne Rechte ausnutzen lässt, betrifft demnach nur Nutzer, die Apple Device Enrollment einsetzen und konfiguriert haben.

Bereits im Januar hatte Ivanti zwei kritische Code-Injection-Lücken in EPMM offengelegt (CVE-2026-1281 und CVE-2026-1340), die in Zero-Day-Angriffen gegen eine „sehr begrenzte Zahl von Kunden" ausgenutzt wurden. Wer der damaligen Empfehlung gefolgt sei und nach einer Kompromittierung durch diese beiden Lücken seine Zugangsdaten erneuert habe, dessen Risiko durch CVE-2026-6973 sei deutlich verringert, so der Hersteller.

Die US-Behörde CISA hatte den Bundesbehörden im April vier Tage Zeit gegeben, ihre Systeme gegen Angriffe auf CVE-2026-1340 abzusichern. In den vergangenen Jahren wurden mehrere weitere EPMM-Zero-Days ausgenutzt, um unter anderem Regierungsstellen weltweit anzugreifen. Insgesamt hat die CISA 33 Ivanti-Schwachstellen als aktiv ausgenutzt eingestuft, zwölf davon wurden auch von verschiedenen Ransomware-Gruppen missbraucht. Ivanti beliefert nach eigenen Angaben über ein Netzwerk von mehr als 7.000 Partnern weltweit über 40.000 Kunden.