Updaten! Attackierte Lücke in Ivanti Endpoint Manager Mobile

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Zwei Sicherheitslücken mit kritischer Risiko-Einstufung finden sich in Ivantis Endpoint Manager Mobile (EPMM). Angreifer können dadurch Schadcode einschleusen. Der Hersteller warnt, dass die Schwachstellen bereits in freier Wildbahn attackiert wurden. Aktualisierungen stehen bereit, mit denen Admins ihre Netze absichern können.

„Ivanti hat Updates für Endpoint Manager Mobile (EPMM) herausgegeben, die zwei kritische Sicherheitslücken angehen“, schreibt Ivanti in der Sicherheitsmitteilung. „Erfolgreiche Angriffe können zur Ausführung von Code aus dem Netz ohne Authentifizierung führen“, erklärt das Unternehmen weiter. „Wir wissen von einer sehr begrenzten Anzahl von Kunden, deren Lösungen zum Meldungszeitpunkt erfolgreich attackiert wurden.“

Ivanti EPMM: Zwei kritische Lücken

Details zu den Schwachstellen hält Ivanti zurück. Das Unternehmen gibt lediglich an, dass beide Schwachstellen vom Typ CWE-94 gemäß Common Weakness Enumeration sind: Unzureichende Kontrolle bei der Generierung von Code (“Code Injection“); das sind Lücken, bei denen Angreifer auf nicht genanntem Weg eigenen Code einschleusen können, der ausgeführt wird. Ivanti ergänzt jedoch, dass Angreifer für solch einen Angriff keine vorherige Authentifizierung benötigen (CVE-2026-1281, CVE-2026-1340; beide CVSS 9.8, Risiko „kritisch“). Die detaillierte Analyse von Ivanti erörtert jedoch, dass die Schwachstellen die In-House-App-Verteilung und die Android-Dateitransfer-Konfigurationsfunktionen betreffen.

In der Nacht zum Freitag hat Ivanti aktualisierte RPM veröffentlicht, mit denen Admins ihre Instanzen auf einen fehlerkorrigierten Stand bringen können. Betroffen sind Ivanti EPMM 12.5.0.0, 12.6.0.0, 12.7.0.0 sowie 12.5.1.0 und 12.6.1.0 und jeweils ältere Versionen. Die Aktualisierungen stehen jeweils als eigene RPMs für die Reihen 12.x.0.x sowie für 12.x.1.x zur Verfügung. Ivanti erklärt, dass es keine Downtime durch Anwendung des Patches kommt und den Entwicklern auch keine Einflüsse auf etwaige Features bekannt sind.

Ivanti erklärt weiter, dass die bekannten Vorfälle noch untersucht würden und bislang keine verlässlichen Informationen vorliegen, die als Indizien für erfolgreiche Angriffe dienen könnten (Indicators of Compromise, IOCs). Allerdings scheinen sich versuchte und erfolgreiche Angriffsversuche mit 404-Errorcodes im Apache-Log niederzuschlagen, wonach Admins daher suchen können. Allerdings erzeugen gepatchte Installationen ebenfalls derartige Fehlercodes, weshalb Ivanti eine Regular Expression für eine bessere Filterung in der detaillierten Analyse vorschlägt.

IT-Verantwortliche sollten umgehend ihre Instanzen patchen. Zuletzt hatte Ivanti im Dezember eine kritische Sicherheitslücke in Ivantis Endpoint Manager geschlossen – zu dem Zeitpunkt waren jedoch keine Angriffe auf die Lücke bekannt.

(dmk)