SchwachstellenHackerangriffe

CISA warnt: Kürzlich gepatchte Ivanti-Schwachstelle wird aktiv ausgenutzt

CISA warnt: Kürzlich gepatchte Ivanti-Schwachstelle wird aktiv ausgenutzt
Zusammenfassung

CISA warnt vor einer Sicherheitslücke (CVE-2026-1603) in Ivanti Endpoint Manager, die aktiv ausgenutzt wird. Die hochgradige Schwachstelle ermöglicht Angreifern ohne Privilegien, die Authentifizierung zu umgehen und Anmeldedaten zu stehlen. U.S. Bundesbehörden wurden angewiesen, ihre Systeme innerhalb von drei Wochen zu patchen. Ivanti veröffentlichte bereits vor einem Monat ein Update, berichtet aber von keinen bekannten Angriffen bisher.

Die US-Cybersicherheitsbehörde CISA hat die Sicherheitslücke CVE-2026-1603 in Ivanits Endpoint Manager (EPM) als aktiv ausgenutzt eingestuft und alle US-Bundesbehörden unter Druck gesetzt: Sie müssen ihre Systeme bis zum 23. März aktualisieren.

Die betroffene Software ist eine Universallösung zur Verwaltung von Endgeräten in Unternehmen – vom Windows-PC über macOS und Linux bis zu Chrome OS und IoT-Plattformen. Die Schwachstelle hat es in sich: Angreifer können aus der Ferne ohne spezielle Berechtigungen Authentifizierungsmechanismen umgehen und durch einfache Cross-Site-Scripting-Attacken Zugangsdaten abgreifen. Benutzer müssen dabei nicht interaktiv eingreifen.

Ivanti hatte die Lücke bereits vor einem Monat durch das Update EPM 2024 SU5 geschlossen. Parallel wurde auch eine SQL-Injection-Schwachstelle behoben, die authentifizierten Angreifern Zugriff auf beliebige Datenbankeinträge ermöglichte.

Einen interessanten Widerspruch gibt es allerdings: Während CISA die Vulnerability als bereits ausgenutzt kennzeichnete, betonte Ivanti gegenüber BleepingComputer, bislang keine Fälle von Angriffen registriert zu haben. Das Unternehmen wartet ab, bis öffentliche Sicherheitsberichte vorliegen.

Die Bedrohungslage ist dennoch ernst: Das Monitoring-Unternehmen Shadowserver verzeichnet derzeit über 700 über das Internet erreichbare Ivanti EPM-Instanzen, hauptsächlich in Nordamerika. Unklar ist, wie viele davon noch anfällig sind.

Der Schritt CISAs folgt einem strengen Muster: Die Behörde ordnete die Schwachstelle in ihren Katalog der aktiv ausgebeuteten Vulnerabilities ein und verwies auf eine verbindliche Direktive aus dem Jahr 2021, wonach Bundesbehörden innerhalb von drei Wochen reagieren müssen.

Fast schon routiniert: Ivanti EPM war bereits mehrfach Ziel von Hackern. Ein Jahr zuvor warnte CISA vor drei anderen EPM-Lücken (CVE-2024-13159, CVE-2024-13160, CVE-2024-13161), und im Oktober 2024 kam eine weitere kritische Schwachstelle (CVE-2024-29824) hinzu.

Das macht die Situation für Ivanits Kundenschaft brisant: Das Unternehmen bedient mehr als 40.000 Firmen weltweit – über ein Netzwerk von 7.000 Partnern. Für all diese Organisationen ist schnelles Handeln geboten.

Ähnliche Artikel