SchwachstellenHackerangriffeDatenschutz

Ivanti stopft kritische Zero-Day-Lücke in Endpoint Manager Mobile

Von CyberDeutsch Redaktion
Ivanti stopft kritische Zero-Day-Lücke in Endpoint Manager Mobile
Zusammenfassung

Ivanti hat im Mai 2026 Sicherheitsupdates für sein Endpoint Manager Mobile (EPMM) Produkt veröffentlicht, um fünf Schwachstellen zu beheben, darunter eine Zero-Day-Lücke, die bereits in gezielten Angriffen ausgenutzt wird. Die Sicherheitslücke CVE-2026-6973 mit hohem Schweregrad ermöglicht es authentifizierten Angreifern mit Administratorrechten, beliebigen Code auszuführen. Ivanti bestätigt, dass eine begrenzte Anzahl von Kunden Ziel dieser Attacken geworden ist. Die Schwachstelle könnte mit älteren, bereits bekannten Lücken (CVE-2026-1281 und CVE-2026-1340) verkettet werden, um vollständige Kontrolle über MDM-Infrastrukturen zu erlangen. Für deutsche Unternehmen ist dies besonders relevant, da MDM-Systeme zur Verwaltung mobiler Geräte in Behörden und Großunternehmen weit verbreitet sind. Die US-Cybersecurity- und Infrastructure Security Agency (CISA) hat CVE-2026-6973 in ihren Katalog kritischer Schwachstellen aufgenommen und fordert Bundesbehörden auf, das Patch bis zum 10. Mai einzuspielen. Organisationen, die die im Januar empfohlene Credential-Rotation durchgeführt haben, können ihr Risiko deutlich senken. Sicherheitsexperten vermuten chinesische Bedrohungsakteure hinter diesen Angriffen.

Die neuerliche Schwachstelle in Ivantis Endpoint Manager Mobile reiht sich in eine besorgniserregende Serie von Sicherheitsproblemen des Anbieters ein. CVE-2026-6973 ist dabei besonders tückisch: Sie erfordert zwar administratives Zugang, erlaubt aber dann die Remote Code Execution (RCE) – die Ausführung beliebigen Codes auf dem verwundbaren System. Das macht sie zum idealen Angriffsziel, wenn Angreifer zuvor bereits Credentials kompromittiert haben.

Besonders kritisch ist die mögliche Verkettung (“Chaining”) mit älteren Lücken. CVE-2026-1281 und CVE-2026-1340 ermöglichen RCE ohne vorherige Authentifizierung – also völlig unauthentifiziert. Ein Angreifer könnte diese ausnutzen, um zunächst Zugang ins System zu erlangen, dann CVE-2026-6973 für die Escalation zu Administrator-Rechten nutzen und damit komplette Kontrolle über die MDM-Infrastruktur übernehmen. Dies hätte für betroffene Organisationen katastrophale Folgen: Sämtliche verwalteten Mobilgeräte könnten kompromittiert werden.

Ivanti hat in seinem Advisory betont, dass Unternehmen, die den Empfehlungen von Januar gefolgt sind und ihre Zugangsdaten nach den früheren Schwachstellen rotiert haben, ein “signifikant reduziertes” Risiko tragen. Dies unterstreicht die Wichtigkeit von schnellen Credential-Rotationen nach bekannten Angriffen.

Die verbleibenden vier mit den Mai-Updates gepatchten Schwachstellen (CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 und CVE-2026-7821) werden Ivanti zufolge noch nicht aktiv ausgenutzt, ermöglichen aber Privilege Escalation, Offenlegung von Client-Zertifikaten und andere problematische Operationen.

Für deutsche Unternehmen und Behörden ist schnelles Handeln erforderlich: Patches sollten umgehend eingespielt werden. Das BSI dürfte zeitnah Empfehlungen veröffentlichen, und unter DSGVO-Aspekten muss berücksichtigt werden, dass eine erfolgreiche Ausnutzung zu Datenschutzverletzungen führen könnte – mit entsprechenden Meldepflichten und potenziellen Bußgeldern bis zu 4 Prozent des Jahresumsatzes. Die Vermutung, dass chinesische Threat-Actor hinter solchen Zero-Days stecken, macht diese Bedrohung zusätzlich ernst zu nehmen.

Ähnliche Artikel