Die Schwachstelle CVE-2026-1603 betrifft Ivanti Endpoint Manager, eine Komplettlösung zur Verwaltung von Endgeräten über verschiedene Betriebssysteme und IoT-Plattformen hinweg. Laut Beschreibung können entfernte Angreifer ohne Berechtigungen die Lücke ausnutzen, um die Authentifizierung zu umgehen und Anmeldedaten zu stehlen. Die Angriffe erfolgen per Cross-Site-Scripting, gelten als wenig komplex und erfordern keinerlei Interaktion durch Nutzer.
Ivanti hatte den Fehler vor einem Monat mit Ivanti EPM 2024 SU5 behoben. Dasselbe Update schließt auch eine SQL-Injection-Schwachstelle, die es entfernten, authentifizierten Angreifern erlaubt, beliebige Daten aus der Datenbank auszulesen.
Obwohl CISA CVE-2026-1603 nun als in freier Wildbahn ausgenutzt einstuft, widersprach Ivanti dieser Darstellung teilweise. Auf eine Anfrage von BleepingComputer hin erklärte das Unternehmen, keine Berichte über eine Ausnutzung erhalten zu haben. In seinem ursprünglichen Advisory heißt es: “Uns ist nicht bekannt, dass vor der öffentlichen Bekanntgabe Kunden über diese Schwachstellen angegriffen wurden. Diese Schwachstellen wurden über unser Programm zur verantwortungsvollen Offenlegung gemeldet.”
Die Überwachungsplattform Shadowserver erfasst derzeit mehr als 700 aus dem Internet erreichbare Ivanti-EPM-Instanzen, die meisten davon in Nordamerika. Wie viele davon noch für Angriffe über CVE-2026-1603 anfällig sind, ist nicht bekannt.
CISA nahm die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf, ohne Details zu den Angriffen zu nennen. Die Behörde warnt, solche Sicherheitslücken seien “häufige Angriffsvektoren für böswillige Cyberakteure und stellen ein erhebliches Risiko für die Bundesverwaltung dar”. Die Behörden des Federal Civilian Executive Branch (FCEB) müssen ihre Systeme binnen drei Wochen – bis zum 23. März – absichern, wie es die im November 2021 erlassene verbindliche Direktive BOD 22-01 vorschreibt.
Ivanti-EPM-Schwachstellen geraten regelmäßig ins Visier von Angreifern. Vor einem Jahr warnte CISA Bundesbehörden vor drei weiteren EPM-Lücken (CVE-2024-13159, CVE-2024-13160 und CVE-2024-13161), die ebenfalls aktiv ausgenutzt wurden. Im Oktober 2024 ordnete die Behörde zudem das Schließen einer weiteren aktiv ausgenutzten EPM-Schwachstelle (CVE-2024-29824) an.
Ivanti stellt nach eigenen Angaben Produkte für System- und IT-Asset-Management für mehr als 40.000 Unternehmen bereit, vertrieben über ein Netzwerk von mehr als 7.000 Partnern weltweit.
