Die Sicherheitsfirma Shadowserver hat bereits über 800 Ivanti-EPMM-Appliances identifiziert, die online exponiert sind. Unklar bleibt allerdings, wie viele bereits gepatcht wurden. CISA ordnete am Donnerstag an, dass alle Bundesbehörden ihre EPMM-Systeme bis Mitternacht des 10. Mai absichern müssen — eine äußerst knappe Frist, die die Kritikalität unterstreicht.
Ivanti empfiehlt Kunden, auf die Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 zu aktualisieren. Besonders wichtig: Administratorenkonten sollten überprüft und Anmeldedaten neu vergeben werden. Das Unternehmen betont, dass zum Zeitpunkt der Veröffentlichung nur sehr begrenzte Exploitations-Aktivitäten bekannt waren und die Anfälligkeit Admin-Authentifizierung voraussetzt. Allerdings ist dies wenig beruhigend — Administratorkonten werden häufig kompromittiert oder missbraucht.
Die CVE-2026-6973 ist nicht die erste Ivanti-Krise: Im Januar 2026 wurden bereits zwei weitere kritische EPMM-Schwachstellen (CVE-2026-1281 und CVE-2026-1340) als Zero-Days ausgenutzt. CISA ordnete damals ähnlich strikte Maßnahmen an. Ivanti versichert, dass Kunden, die damals Credentials rotiert haben, durch diese Maßnahmen vor der neuen Lücke geschützt sein dürften.
Deutsche Unternehmen sollten diese Warnung ernst nehmen. Endpoint-Management-Lösungen sind hochsensibel: Sie kontrollieren mobile Geräte, verteilen Software und verwalten Netzwerkzugriffe. Eine Kompromittierung könnte flächendeckende Daten- oder Malware-Verbreitung ermöglichen. Das BSI empfiehlt grundsätzlich, kritische Sicherheitsupdates als Notfall zu behandeln und im Notfall IT-Sicherheitsvorfälle zu melden — Verpflichtungen unter DSGVO und NIS2-Richtlinie.
Für Unternehmen gilt: EPMM-Versionen vor 12.8.0.1 sollten sofort geupdatet werden. Parallel sollten Administratorkonten auditiert und bei Verdacht auf Kompromittierung sofort deaktiviert werden.