Thought Leadership
Hacker nutzen eine neue Schwachstelle (CVE-2026-6973) in Ivanti EPMM für Remote-Angriffe. Die CISA setzt eine Frist zur sofortigen Behebung bis zum 10. Mai.
Ivanti hat eine Sicherheitswarnung für sein Produkt Endpoint Manager Mobile (EPMM) veröffentlicht. Eine Schwachstelle, registriert unter CVE-2026-6973, wird laut Unternehmensangaben bereits aktiv in „begrenzten Angriffen“ ausgenutzt. Die US-Cybersicherheitsbehörde CISA hat die Lücke umgehend in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Angreifer können über die Schwachstelle administrativen Zugriff in eine vollständige Systemübernahme (Remote Code Execution) verwandeln.
Ivanti EPMM vor den Releases 12.6.1.1, 12.7.0.1 und 12.8.0.1 betroffen
Die mit einem CVSS-Score von 7.2 bewertete Sicherheitslücke basiert auf einer unzureichenden Validierung von Eingabedaten (Improper Input Validation). Betroffen sind alle Versionen von Ivanti EPMM vor den Releases 12.6.1.1, 12.7.0.1 und 12.8.0.1. Die Besonderheit dieser Lücke liegt in ihren Voraussetzungen: Ein Angreifer muss bereits über eine administrative Authentifizierung verfügen, um den Schadcode aus der Ferne auszuführen.
Obwohl die Notwendigkeit von Admin-Rechten zunächst wie eine hohe Hürde wirkt, warnt Ivanti vor einer gefährlichen Synergie mit vergangenen Vorfällen. Das Unternehmen betont, dass das Risiko einer Ausnutzung dann besonders hoch ist, wenn Kunden eine frühere Empfehlung aus dem Januar 2026 ignoriert haben. Damals wurden Administratoren nach der Entdeckung von CVE-2026-1281 und CVE-2026-1340 aufgefordert, sämtliche Anmeldedaten zu rotieren. Hacker, die sich im Rahmen dieser oder anderer Kampagnen bereits Admin-Zugänge verschafft haben, können diese nun nutzen, um tief in die Betriebssystemebene des EPMM-Servers einzudringen.
CISA erzwingt schnelles Handeln bis zum 10. Mai
Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) sieht in der aktiven Ausnutzung eine unmittelbare Gefahr für staatliche und private Netzwerke. Mit der Aufnahme in das KEV-Verzeichnis sind alle US-Bundesbehörden (FCEB) verpflichtet, die entsprechenden Patches bis spätestens zum 10. Mai 2026 zu applizieren.
Diese extrem kurze Frist von weniger als drei Tagen nach Bekanntgabe ist ein deutlicher Indikator für die Kritikalität. MDM-Server (Mobile Device Management) wie EPMM sind hochsensible Knotenpunkte: Sie kontrollieren den Zugriff, die Verschlüsselung und die Anwendungsverteilung auf tausenden von Smartphones und Tablets innerhalb einer Organisation. Eine Kompromittierung des Servers bedeutet potenziell den Zugriff auf alle verwalteten Endgeräte und deren Daten. Über die Identität der Angreifer oder deren spezifische Ziele liegen derzeit noch keine gesicherten Informationen vor, doch Experten vermuten Wirtschaftsspionage oder staatlich motivierte Operationen.
Weitere kritische Lücken im Mai-Patch-Paket
Neben der aktiv ausgenutzten RCE-Lücke hat Ivanti im selben Update vier weitere Schwachstellen geschlossen, deren Risikoprofil teilweise noch dramatischer ist. Diese betreffen vor allem die Zugriffskontrolle und die Authentifizierungsprozesse:
- CVE-2026-5787 (CVSS 8.9): Ein Fehler bei der Zertifikatsprüfung ermöglicht es unauthentifizierten Angreifern, sich als legitime Sentry-Hosts auszugeben und CA-signierte Client-Zertifikate zu erschleichen.
- CVE-2026-5786 (CVSS 8.8): Durch eine mangelhafte Zugriffskontrolle können Remote-Angreifer administrative Privilegien erlangen, ohne zuvor legitimiert worden zu sein.
- CVE-2026-7821 (CVSS 7.4): Ermöglicht die unbefugte Registrierung von Geräten, was zur Preisgabe von Systeminformationen führt und die Integrität neu angemeldeter Geräte gefährdet.
- CVE-2026-5788 (CVSS 7.0): Erlaubt das Aufrufen beliebiger Methoden im System durch unauthentifizierte Nutzer.
Besonders die Kombination aus CVE-2026-5786 (Erlangung von Admin-Rechten) und der neuen RCE-Lücke CVE-2026-6973 stellt ein verheerendes Angriffsszenario dar, bei dem Angreifer ohne jegliche Startberechtigung zur vollen Kontrolle über die Infrastruktur gelangen können.
Eingrenzung der Gefahr auf On-Premise-Systeme
Ivanti legt Wert auf die Feststellung, dass die aktuellen Bedrohungen ausschließlich die lokal installierte Version von Endpoint Manager Mobile (EPMM) betreffen. Die Cloud-basierte Lösung des Herstellers, Ivanti Neurons for MDM, ist nach aktuellem Kenntnisstand nicht verwundbar. Ebenso sind andere Produkte wie Ivanti Sentry oder der herkömmliche Endpoint Manager (EPM) nicht von diesen spezifischen Schwachstellen betroffen.
Dieser Fokus auf On-Premise-Installationen unterstreicht eine generelle Entwicklung in der Cybersicherheit: Während Cloud-Plattformen durch die zentrale Verwaltung des Herstellers oft binnen Stunden immunisiert werden, verbleibt die Verantwortung für die Sicherheit lokaler Server bei den IT-Abteilungen der Unternehmen. Die Verzögerung beim Einspielen von Patches in Eigenregie wird so zum primären Angriffsvektor für Cyberkriminelle.
Notwendige Schritte zur Absicherung der Infrastruktur
Für Sicherheitsverantwortliche ergibt sich aus den aktuellen Warnungen ein klarer Handlungsleitfaden. Die bloße Installation des Patches ist im Falle einer bereits erfolgten Kompromittierung unter Umständen nicht ausreichend. Folgende Maßnahmen sollten priorisiert werden:
- Versionsprüfung und Update: Der Server muss umgehend auf eine der sicheren Versionen (12.6.1.1, 12.7.0.1, 12.8.0.1 oder höher) aktualisiert werden.
- Audit der Protokolle: Eine gründliche Analyse der Log-Dateien auf unübliche administrative Anmeldungen oder unbekannte API-Aufrufe ist unerlässlich, um bereits erfolgte Infiltrationen zu identifizieren.
- Vollständige Credential-Rotation: Da die Schwachstelle Admin-Rechte voraussetzt, müssen alle administrativen Passwörter und Zertifikate erneuert werden – insbesondere, wenn dies seit Januar 2026 versäumt wurde.
- Netzwerk-Isolation: Der Zugriff auf die Management-Schnittstellen des EPMM sollte strikt auf autorisierte VPN-Verbindungen oder interne IP-Adressen begrenzt werden, um die Angriffsfläche aus dem öffentlichen Internet zu minimieren.
