Die neu entdeckte Sicherheitslücke stellt ein hohes Risiko für Organisationen dar, die Ivanits Endpoint Manager Mobile zur Verwaltung mobiler Geräte einsetzen. CVE-2026-6973 basiert auf unsachgemäßer Eingabevalidierung und betrifft alle EPMM-Versionen vor 12.6.1.1, 12.7.0.1 und 12.8.0.1. Besonders bemerkenswert ist die Anforderung administrativer Anmeldedaten — dies deutet auf einen Insider-Angriff oder auf einen Szenario hin, in dem Angreifer bereits in andere Systeme eingedrungen sind und Administratoren-Accounts kompromittiert haben.
Ivanti betont allerdings, dass das Exploitations-Risiko deutlich geringer ausfällt, falls Organisationen den Empfehlungen aus Januar gefolgt sind und ihre Anmeldedaten nach den früheren Schwachstellen CVE-2026-1281 und CVE-2026-1340 zurückgesetzt haben. Diese Maßnahme unterbricht potenziell die Angriffskette, da die alten gehackten Credentials nicht mehr funktionieren.
Bislang ist unklar, wer hinter den Angriffen steckt, ob Kompromittierungen erfolgreich waren und welche Ziele die Angreifer verfolgten. Die Tatsache, dass CISA die Lücke sofort in sein KEV-Katalog (Known Exploited Vulnerabilities) aufnahm, zeigt das Vertrauen in deren Kritikalität und aktive Gefährlichkeit. Deutsche Unternehmen sollten sich nicht auf die Warnung der US-Behörden verlassen, sondern proaktiv handeln: Ein sofortiges Audit der EPMM-Installationen und ein Patch-Management-Plan sind erforderlich.
Wichtig zu wissen: Die Anfälligkeit betrifft ausschließlich die On-Premises-Version von EPMM. Nutzer der Cloud-Lösung Ivanti Neurons for MDM, sowie Ivanti EPM, Ivanti Sentry und andere Ivanti-Produkte sind nicht betroffen. Organisationen sollten ihre Systemumgebung überprüfen und sicherstellen, dass ihre Infrastruktur mit den verfügbaren Security-Patches aktualisiert wird. Gleichzeitig empfiehlt sich eine Überprüfung der Admin-Account-Aktivitäten auf verdächtige Anmeldungen oder Berechtigungsänderungen.