Ivanti schließt aktiv ausgenutzte Zero-Day-Lücke in EPMM

Zusammenfassung

Ivanti hat seine Mai-2026-Sicherheitsupdates für das Produkt Endpoint Manager Mobile (EPMM) veröffentlicht und damit fünf Schwachstellen geschlossen. Darunter befindet sich eine Zero-Day-Lücke, die laut Ivanti bereits in gezielten Angriffen ausgenutzt wird. Die Schwachstelle wird unter der Kennung CVE-2026-6973 geführt und als hochgradig kritisch eingestuft. Es handelt sich um eine fehlerhafte Eingabevalidierung, die ein authentifizierter Angreifer mit Administratorrechten zur Remotecodeausführung missbrauchen kann. Ivanti zufolge ist bislang nur eine „sehr begrenzte Zahl von Kunden“ von entsprechenden Angriffen betroffen. Brisant ist der Hinweis des Herstellers, dass die neue Lücke offenbar mit zwei früheren Schwachstellen kombiniert werden könnte, über die sich Angreifer ohne Anmeldung Zugang verschaffen und im Ergebnis die vollständige Kontrolle über die betroffene MDM-Infrastruktur erlangen können. Die US-Behörde CISA hat CVE-2026-6973 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und Bundesbehörden eine Frist zur Behebung gesetzt. Damit reiht sich der Fall in eine ganze Serie von Sicherheitsproblemen in Ivanti-Produkten ein.

Im Zentrum der Aktualisierung steht CVE-2026-6973, eine hochgradig kritische Schwachstelle in der Eingabevalidierung. Sie lässt sich von einem authentifizierten Angreifer mit Administratorrechten ausnutzen, um aus der Ferne beliebigen Code auszuführen. Nach Angaben von Ivanti wird die Lücke bereits gegen eine „sehr begrenzte Zahl von Kunden“ eingesetzt.

Aufschlussreich ist ein Hinweis aus Ivantis Sicherheitsmeldung: Kunden, die einer früheren Empfehlung gefolgt seien und nach einer Kompromittierung durch CVE-2026-1281 und CVE-2026-1340 ihre Zugangsdaten erneuert hätten, seien dem Risiko durch CVE-2026-6973 deutlich weniger ausgesetzt. Daraus lässt sich ableiten, dass die neue Schwachstelle möglicherweise mit CVE-2026-1281 oder CVE-2026-1340 verkettet wurde.

Diese beiden älteren Lücken erlauben eine nicht authentifizierte Remotecodeausführung. In Kombination könnte ein Angreifer so die vollständige Kontrolle über die anvisierte MDM-Infrastruktur erlangen. Auch CVE-2026-1281 und CVE-2026-1340 wurden zunächst in gezielten Zero-Day-Angriffen ausgenutzt; kurz nach ihrer Offenlegung stieg die Zahl der Ausnutzungsversuche jedoch sprunghaft an.

Weitere Details zu den Angriffen rund um CVE-2026-6973 nannte Ivanti nicht. Bemerkenswert bleibt allerdings, dass hinter Zero-Day-Angriffen auf Schwachstellen in Ivanti-Produkten häufig chinesische Bedrohungsakteure vermutet werden.

Die US-Cybersicherheitsbehörde CISA nahm CVE-2026-6973 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und verpflichtete US-Bundesbehörden, das Problem bis zum 10. Mai zu beheben. Aktuell führt der KEV-Katalog 34 Schwachstellen in Ivanti-Produkten.

Die übrigen vier mit dem Update geschlossenen Lücken wurden nach Angaben von Ivanti bislang nicht ausgenutzt. Sie werden unter den Kennungen CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 und CVE-2026-7821 geführt und ermöglichen je nach Fall eine Rechteausweitung, den Zugriff auf Client-Zertifikate, den Aufruf beliebiger Methoden sowie das Abgreifen von Informationen.

Ivanti schließt aktiv ausgenutzte Zero-Day-Lücke in EPMM

Ähnliche Artikel

Neueste Artikel