Neue Zero-Day-Lücke in Ivanti EPMM: Angreifer nutzen bereits Schwachstelle aus

Neue Zero-Day-Lücke in Ivanti EPMM entdeckt

Ivanti-Kunden stehen erneut vor einer kritischen Sicherheitslücke: Das Unternehmen warnt vor einer aktiv ausgenutzten Zero-Day-Schwachstelle in seinem Endpoint Manager Mobile (EPMM). Die Lücke mit der Bezeichnung CVE-2026-6973 betrifft die unsachgemäße Eingabevalidierung und ermöglicht es authentifizierten Nutzern mit administrativen Rechten, Remote-Code auszuführen.

Details zur Schwachstelle und betroffenen Systemen

Laut Ivanti wurde die Schwachstelle bereits in begrenztem Umfang in der Wildnis ausgenutzt. Die Lücke erfordert jedoch zwingend administrative Zugriffsrechte, was das Risiko für nicht betroffene Kunden verringert. Ivanti veröffentlichte am Donnerstag ein Sicherheitsbulletin und gleichzeitig Patches für insgesamt fünf Sicherheitslücken in EPMM.

Neben der Zero-Day-Lücke wurden vier weitere hochkritische Schwachstellen behoben:

• CVE-2026-5787
• CVE-2026-5788
• CVE-2026-6973 (Zero-Day)
• CVE-2026-7821

Diese wurden bisher nicht aktiv ausgenutzt, wie das Unternehmen mitteilte.

Hintergrund und mögliche Ursachen

Ivanti entdeckte die Schwachstellen in den letzten Wochen durch interne Erkennungsprozesse, die durch KI, Kundenfeedback und verantwortungsvolle Offenlegung unterstützt werden. Ein ehemaliger Mitarbeiter meldete eine der Lücken. Das Unternehmen vermutet, dass die aktuelle Zero-Day-Lücke mit zwei früheren kritischen Schwachstellen zusammenhängt, die ab Januar 2026 ausgenutzt wurden:

• CVE-2026-1281
• CVE-2026-1340

Diese wurden von verschiedenen Bedrohungsakteuren, darunter Gruppen aus China und dem Iran, ausgenutzt. Die Folgen der damaligen Angriffe betrafen fast 100 Opfer, darunter die niederländische Datenschutzbehörde und den niederländischen Justizrat.

Empfehlungen für Kunden

Ivanti rät betroffenen Kunden dringend, die EPMM-Zugangsdaten zu rotieren, da dies das Risiko einer Ausnutzung der neuen Zero-Day-Lücke deutlich reduziert. Kunden, die von den früheren Schwachstellen nicht betroffen waren, haben ein geringeres Risiko, wie ein Unternehmenssprecher erklärte.

Expertenmeinung zur Bedrohungslage

„Die administrative Zugriffsberechtigung, die für die Ausnutzung von CVE-2026-6973 erforderlich ist, deutet darauf hin, dass die Lücke möglicherweise Teil einer Angriffskette war, die auf eine andere Methode zum initialen Zugriff angewiesen war.“

— Caitlin Condon, Vice President of Security Research bei VulnCheck

Condon betonte, dass die früheren Schwachstellen CVE-2026-1281 und CVE-2026-1340 ohne Authentifizierung ausgenutzt werden konnten und daher eine höhere Anfangsbedrohung darstellten. Beide wurden nun mit den aktuellen Patches behoben.

Reaktion der Behörden

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) fügte die neue Zero-Day-Lücke innerhalb weniger Stunden nach Ivantis Bekanntgabe in ihren Katalog bekannter ausgenutzter Schwachstellen ein. Dies unterstreicht die Dringlichkeit der Situation.

Fazit: Ivanti bleibt ein häufiges Angriffsziel

Angriffe auf Ivanti-Produkte sind für das Unternehmen und seine Kunden zu einem wiederkehrenden Problem geworden. Die aktuelle Zero-Day-Lücke ist zwar weniger kritisch als frühere Schwachstellen, da sie administrative Rechte voraussetzt, dennoch zeigt sie, dass Ivanti weiterhin im Fokus von Cyberkriminellen steht. Kunden sollten die bereitgestellten Patches umgehend installieren und Sicherheitsempfehlungen umsetzen, um sich vor weiteren Angriffen zu schützen.