CISA setzt US-Behörden Vier-Tage-Frist für Ivanti-EPMM-Lücke

Zusammenfassung

Die US-Sicherheitsbehörde CISA hat den US-Bundesbehörden eine Frist von vier Tagen gesetzt, um ihre Netzwerke gegen eine als Zero-Day ausgenutzte Schwachstelle in Ivanti Endpoint Manager Mobile (EPMM) abzusichern. Die als CVE-2026-6973 geführte Lücke gilt als hochgradig kritisch: Angreifer mit administrativen Rechten können damit aus der Ferne beliebigen Code auf Systemen ausführen, die EPMM in der Version 12.8.0.0 oder älter einsetzen. Ivanti veröffentlichte am Donnerstag eine Sicherheitsmitteilung und stellte korrigierte Versionen bereit. Zugleich nahm CISA die Schwachstelle in ihren Katalog der aktiv ausgenutzten Sicherheitslücken auf und verpflichtete die Bundesbehörden, ihre EPMM-Systeme bis Mitternacht am Sonntag, dem 10. Mai, zu aktualisieren. Laut Ivanti gibt es zum Zeitpunkt der Offenlegung nur sehr vereinzelte Ausnutzungsversuche, die zudem eine erfolgreiche Administrator-Authentifizierung voraussetzen. Die Sicherheitsorganisation Shadowserver zählt aktuell über 800 im Internet erreichbare EPMM-Geräte – wie viele davon bereits gepatcht sind, ist unklar. Betroffen ist ausschließlich das lokal betriebene EPMM-Produkt.

Die Schwachstelle CVE-2026-6973 erlaubt es Angreifern mit Administratorrechten, aus der Ferne beliebigen Code auf Systemen mit Ivanti EPMM 12.8.0.0 und früheren Versionen auszuführen. In ihrer am Donnerstag veröffentlichten Sicherheitsmitteilung weist Ivanti die Kunden darauf hin, dass sie ihre Geräte durch die Installation der Versionen EPMM 12.6.1.1, 12.7.0.1 und 12.8.0.1 absichern können. Zusätzlich empfiehlt das Unternehmen, Konten mit Administratorrechten zu überprüfen und die zugehörigen Zugangsdaten bei Bedarf zu erneuern.

„Zum Zeitpunkt der Offenlegung ist uns nur eine sehr begrenzte Ausnutzung von CVE-2026-6973 bekannt, die für einen erfolgreichen Angriff eine Administrator-Authentifizierung erfordert. Uns sind keine Kunden bekannt, die über die anderen heute offengelegten Schwachstellen angegriffen wurden", erklärte Ivanti. Betroffen sei ausschließlich das lokal betriebene EPMM-Produkt; nicht betroffen seien Ivanti Neurons for MDM, die cloudbasierte Lösung des Anbieters, sowie Ivanti EPM, Ivanti Sentry und weitere Produkte.

Die gemeinnützige Sicherheitsorganisation Shadowserver verzeichnet derzeit mehr als 800 im Internet erreichbare Ivanti-EPMM-Geräte. Wie viele davon bereits gegen CVE-2026-6973 abgesichert sind, ist nicht bekannt.

CISA nahm die Schwachstelle am Donnerstag in ihren Katalog der in Angriffen ausgenutzten Sicherheitslücken auf und verpflichtete die Bundesbehörden, ihre EPMM-Systeme bis Mitternacht am Sonntag, dem 10. Mai, zu patchen. Diese Art von Schwachstelle sei „ein häufiger Angriffsvektor für böswillige Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar", warnte die Behörde.

Es ist nicht der erste derartige Fall in jüngerer Zeit: Ende Januar schloss Ivanti zwei weitere kritische EPMM-Lücken (CVE-2026-1281 und CVE-2026-1340), die in Zero-Day-Angriffen gegen eine „sehr begrenzte Zahl von Kunden" ausgenutzt wurden. Am 8. April setzte CISA den US-Behörden ebenfalls eine Vier-Tage-Frist, um sich gegen Angriffe auf die Lücke CVE-2026-1340 zu schützen.

Ivanti weist zudem darauf hin, dass Kunden, die der Empfehlung vom Januar gefolgt sind und nach einer Ausnutzung von CVE-2026-1281 und CVE-2026-1340 ihre Zugangsdaten erneuert haben, einem deutlich geringeren Risiko durch CVE-2026-6973 ausgesetzt sind. Nach eigenen Angaben betreut Ivanti weltweit über 40.000 Kunden, unterstützt durch ein Netzwerk von mehr als 7.000 Partnern.

CISA setzt US-Behörden Vier-Tage-Frist für Ivanti-EPMM-Lücke

Ähnliche Artikel

Neueste Artikel