Ivanti hat zwei kritische Sicherheitsschwachstellen in Ivanti Endpoint Manager Mobile (EPMM) bekannt gegeben und gepatcht, die aktiv in Zero-Day-Angriffen ausgenutzt wurden. Die Schwachstellen mit den Bezeichnungen CVE-2026-1281 und CVE-2026-1340 ermöglichen die unautorisierte Remotecodeausführung und gehören mit einem CVSS-Score von 9,8 zu den schwerwiegendsten Schwachstellen. Eine der Schwachstellen wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, was die Dringlichkeit von Abhilfemaßnahmen, insbesondere in US-Bundesbehörden, deutlich erhöht.
Diese Schwachstellen ermöglichen es Angreifern, ungeschützte EPMM-Appliances ohne gültige Anmeldeinformationen zu kompromittieren und so möglicherweise die vollständige Kontrolle über Systeme zu erlangen, die sensible Daten über mobile Geräte und Unternehmenskonfigurationen verwalten und speichern.
CVE-2026-1281 und CVE-2026-1340 sind Code-Injection-Schwachstellen in Ivanti EPMM, die es Angreifern ermöglichen, beliebige Befehle aus der Ferne und ohne Authentifizierung auszuführen. Die Probleme resultieren aus einer unsachgemäßen Eingabeverarbeitung in den Funktionen In-House Application Distribution und Android File Transfer Configuration von EPMM. Eine erfolgreiche Ausnutzung führt zur direkten Codeausführung auf der Appliance selbst, was angesichts der privilegierten Rolle von EPMM in Unternehmensumgebungen ein hohes Risiko darstellt.
Die Schwachstellen betreffen mehrere unterstützte Versionen von Ivanti EPMM, darunter die Versionen 12.5.x, 12.6.x und 12.7.x. Ivanti hat RPM-basierte Interims-Patches für die betroffenen Versionen veröffentlicht; diese Patches bleiben jedoch bei Versions-Upgrades nicht erhalten und müssen bei einer Aktualisierung der Appliance erneut angewendet werden. Eine dauerhafte Lösung wird mit der Veröffentlichung der EPMM-Version 12.8.0.0 erwartet, die für das erste Quartal 2026 geplant ist.
Wichtig ist, dass Ivanti erklärt hat, dass keine anderen Ivanti-Produkte von diesen Schwachstellen betroffen sind, einschließlich Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) und Ivanti Sentry.
Ivanti hat bestätigt, dass eine begrenzte Anzahl von Kunden vor der öffentlichen Bekanntgabe aktiv ausgenutzt wurde, obwohl das Unternehmen feststellte, dass es derzeit keinen ausreichenden Einblick in die Werkzeuge und die Infrastruktur von Bedrohungsakteuren hat, um zuverlässige atomare Indikatoren für eine Kompromittierung zu veröffentlichen. Auf der Grundlage historischer Angriffe auf frühere EPMM-Schwachstellen geht Ivanti davon aus, dass Angreifer in der Regel über Web-Shells oder Reverse-Shells, die direkt auf der kompromittierten Appliance eingesetzt werden, Persistenz herstellen.
Sobald ein EPMM-System kompromittiert ist, können Angreifer beliebigen Code ausführen, auf sensible Daten im Zusammenhang mit verwalteten Geräten zugreifen und möglicherweise seitlich in verbundene Unternehmensumgebungen eindringen. Da EPMM-Appliances häufig an der Schnittstelle zwischen Identität, Gerätemanagement und Netzwerkzugriff angesiedelt sind, kann eine erfolgreiche Kompromittierung kaskadenartige Sicherheitsauswirkungen haben, die weit über die Appliance selbst hinausgehen.
Da es keine detaillierten Indikatoren gibt, beruht die Erkennung derzeit auf der Analyse von Protokollen und der Überprüfung der Konfiguration. Ivanti rät seinen Kunden, die Apache-Zugriffsprotokolle unter /var/log/httpd/https-access_log auf verdächtige Anfragen zu untersuchen, die auf anfällige Endpunkte abzielen. Anfragen, die HTTP 404-Antworten zurückgeben, anstatt der erwarteten 200-Antworten, die mit einer legitimen Nutzung verbunden sind, können auf einen versuchten oder erfolgreichen Angriff hindeuten. Ivanti hat einen regulären Ausdruck zur Verfügung gestellt, der bei der Identifizierung solcher Einträge hilft, und empfiehlt, die Ergebnisse mit Zeitstempeln und Quell-IP-Adressen zu korrelieren.
Über die Protokollanalyse hinaus wird Unternehmen empfohlen, EPMM-Verwaltungskonten auf unbefugte Änderungen zu überprüfen, Authentifizierungskonfigurationen wie LDAP und SSO zu untersuchen und neu erstellte oder geänderte Geräterichtlinien und gepushte Anwendungen unter die Lupe zu nehmen. Unerwartete Änderungen der Netzwerk- oder VPN-Konfiguration, die über EPMM verbreitet werden, sollten ebenfalls als potenzielle Indikatoren für eine Gefährdung betrachtet werden.
Unternehmen, die Ivanti EPMM einsetzen, sollten diese Schwachstellen als unmittelbares und hochgradiges Risiko behandeln. Die erste Priorität sollte darin bestehen, die entsprechenden von Ivanti herausgegebenen RPM-Patches auf alle betroffenen EPMM-Instanzen anzuwenden, wobei diese Patches nach jedem Versions-Upgrade erneut angewendet werden müssen, bis EPMM 12.8.0.0 bereitgestellt wird. Mit dem Internet verbundene EPMM-Appliances sollten als besonders risikoreich angesehen und entsprechend priorisiert werden.
Parallel zum Patching sollten die Teams eine gründliche Überprüfung der Apache-Zugriffsprotokolle und der EPMM-Konfigurationseinstellungen durchführen, um Anzeichen für eine Ausnutzung zu erkennen. Da Ivanti nicht empfiehlt, eine kompromittierte Appliance manuell zu säubern, sollte jedes Anzeichen eines erfolgreichen Angriffs einen vollständigen Wiederherstellungsprozess auslösen. Dazu gehört die Wiederherstellung der Appliance von einem Backup, das vor der Kompromittierung erstellt wurde, oder die Erstellung einer neuen EPMM-Instanz und die Migration der sauberen Daten auf diese Instanz.
Nach der Wiederherstellung sollten Unternehmen davon ausgehen, dass ihre Anmeldedaten gefährdet sind, und Abhilfemaßnahmen ergreifen, indem sie alle Passwörter für lokale EPMM-Konten zurücksetzen, die Anmeldedaten für LDAP- und Kerberos-Dienstkonten ändern und alle von der EPMM-Appliance verwendeten öffentlichen Zertifikate widerrufen und ersetzen. Angeschlossene Systeme und Dienste sollten zusätzlich auf Anzeichen für Seitwärtsbewegungen untersucht werden, insbesondere in Umgebungen, in denen EPMM in Identitäts- oder Netzwerkzugangskontrollen integriert ist.
Schließlich sollten die Sicherheitsteams ihre Schwachstellenmanagement- und Incident-Response-Playbooks aktualisieren, um EPMM und ähnliche Infrastrukturanwendungen ausdrücklich als hochwertige Ziele einzubeziehen. Die kontinuierliche Überwachung auf anomale ausgehende Aktivitäten von EPMM-Systemen und die proaktive Validierung von Backups tragen dazu bei, die Verweildauer zu verkürzen und die Auswirkungen künftiger Angriffsversuche zu begrenzen.
Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.