Die US-amerikanische Cybersicherheitsbehörde CISA hat am Montag ihre katalogisierte Liste der bekanntermaßen ausgebeuteten Sicherheitslücken (KEV) um ein weiteres Ivanti-Sicherheitsproblem erweitert und fordert sofortiges Handeln.
Die Schwachstelle CVE-2026-1603 mit einem CVSS-Wert von 8,6 stellt eine hochgradig kritische Authentifizierungslücke in Ivanti Endpoint Manager dar. Sie erlaubt Angreifern, Anmeldedaten auszulesen. Alle Versionen des Endpoint Manager vor Version 2024 SU5 sind betroffen. Ivanti hatte das Update bereits Anfang Februar veröffentlicht und damals angegeben, keine aktiven Angriffe zu diesem Zeitpunkt zu kennen. Das Unternehmen hat seine Sicherheitswarnung bisher nicht aktualisiert.
CISA fordert Bundesbehörden auf, Patches für CVE-2026-1603 innerhalb von zwei Wochen einzuspielen – das ist eine Woche schneller als die normalerweise geltende dreiwöchige Frist gemäß BOD 22-01.
Zusätzlich wurden am Montag zwei weitere kritische Sicherheitslücken in den KEV-Katalog aufgenommen: CVE-2021-22054 (CVSS 7,5), eine Server-Side-Request-Forgery-Lücke (SSRF) in Omnissa Workspace One UEM, mit derselben zweiwöchigen Patchfrist, sowie CVE-2025-26399 (CVSS 9,8), eine Remote-Code-Execution-Lücke in SolarWinds Web Help Desk, bei der Behörden nur eine Woche Zeit zur Behebung haben.
Die Workspace-One-Lücke wurde bereits im Dezember 2021 gepatcht und ermöglicht unauthentifizierten Zugriff auf sensible Verwaltungskonsolen. Im März des Vorjahres hatte GreyNoise vor massiven Angriffen auf ähnliche SSRF-Lücken in Produkten verschiedener Hersteller gewarnt.
Die SolarWinds-Lücke CVE-2025-26399 ist ein Bypass für einen früheren Patch und wird bereits im Feld ausgenutzt. Microsoft hatte sie im Dezember 2025 als potenziell angegriffen gekennzeichnet, CISA hat dies nun bestätigt.