Ivanti: Kritische Lücken in EPMM ausgenutzt

Nutzer des Ivanti Endpoint Manager Mobile sollten dringend zwei Patches einspielen, mit denen kritische Sicherheitslücken im MDM-Tool geschlossen werden. Diese wurden laut Anbieter bereits ausgenutzt, bisher sei jedoch nur eine "sehr begrenzte" Anzahl Kunden von den Angriffen betroffen.

(Foto: Ivanti)

Ivanti warnt die Nutzer mit einem Sicherheitshinweis vor den zwei kritischen Sicherheitslücken CVE-2026-1281 und CVE-2026-1340 in seinem Endpoint Manager Mobile (EPMM). Die Code-Injection-Schwachstellen können dem Hersteller zufolge dazu ausgenutzt werden, die Remote-Ausführung von Code ohne Authentifizierung zu ermöglichen, und wurden deshalb beide mit dem Schweregrad 9,8 von 10,0 bewertet. Nach den Erkenntnissen von Ivanti gab es in der vergangenen Woche bereits erste Angriffe über die Schwachstellen. "Nach unseren Erkenntnissen war bis zur Veröffentlichung nur eine sehr begrenzte Zahl Kunden von den Exploits betroffen", versichert das Unternehmen.

Patch mit Einschränkungen

Alle Nutzer des Endpoint Manager Mobile sollten aufgrund des hohen Gefährdungspotenzials umgehend die bereitgestellten Patches zur Behebung der Sicherheitslücken installieren. "Für die Installation dieses Patches sind keine Ausfallzeiten erforderlich, und uns sind keine Auswirkungen auf die Funktionalität bekannt", verspricht Ivanti. Allerdings ist beim Einsatz des Patches RPM_12.x.1.x (für die Versionen 12.5.1.0 und 12.6.1.0) Vorsicht geboten: "Das RPM-Skript bleibt bei einem Versions-Upgrade nicht erhalten. Wenn Sie nach der Anwendung des RPM-Skripts auf Ihre Appliance ein Upgrade auf eine neue Version durchführen, müssen Sie das RPM neu installieren. Die dauerhafte Behebung dieser Sicherheitslücke wird in der nächsten Produktversion enthalten sein: 12.8.0.0." CRN hat Ivanti um eine weitere Stellungnahme gebeten.

Die US-Cybersicherheitsbehörde CISA bestätigt in einer Mitteilung, dass mindestens eine der Schwachstellen (CVE-2026-1281) von Angreifern ausgenutzt wurde und erklärt: "Diese Art von Schwachstelle ist ein gerne genutzter Angriffsvektor böswilliger Cyberakteure und stellt ein erhebliches Risiko für Bundesbehörden dar." Sie hat deshalb allen US-Bundesbehörden angeordnet, die Patches noch vor Beginn der neuen Woche zu implementieren. Darüber hinaus fordert sie auch die ihr nicht unterstehenden "Organisationen nachdrücklich auf", die Behebung solcher bereits ausgenutzten Sicherheitslücken grundsätzlich mit höchster Priorität anzugehen.

Auch das BSI hat eine Mitteilung zu den Schwachstellen veröffentlicht. Es bewertet ihre Kritikalität zwar nur mit 2 / Gelb, warnt jedoch: "Zum aktuellen Zeitpunkt sind keine öffentlichen Details oder Exploits bekannt, dennoch ist es wahrscheinlich, dass Angreifer mit der Veröffentlichung des Sachverhalts ihre Angriffe ausweiten und opportunistisch ungeschützten Appliances angreifen werden. Das BSI rät daher dazu, die eigenen Ivanti EPMM Appliances schnellstmöglich abzusichern und zudem auf eine bereits stattgefundene Ausnutzung hin zu prüfen." Zur Abschätzung der Zahl der betroffenen Unternehmen weist das BSI darauf hin, dass nach

Angaben der Shadowserver Foundation [SHAD26] "in Deutschland rund 550 Ivanti EPMM Appliances im Internet exponiert betrieben" werden.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden