heise PlusAbo
Anzeige
Alert!

BSI-Warnung: Ivanti-EPMM-Lücke wird verbreitet missbraucht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und IT-Forscher warnen vor weit verbreiteten Angriffen auf Ivanti EPMM.

vorlesen Druckansicht
Roter Totenkopf auf schwarzem Hintergrund

(Bild: Titima Ongkantong / Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Ende Januar hat Ivanti kritische Schwachstellen in Endpoint Manager Mobile (EPMM) geschlossen. Angreifer können dadurch Schadcode einschleusen – und machen das bereits, erste Angriffe waren bereits bekannt. Nun warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor weit verbreiteten Angriffen auf die Lücken und empfiehlt den Einsatz eines Erkennungsskripts zum Aufspüren erfolgreicher Attacken. Auch die IT-Sicherheitsforscher von Palo Alto haben eine Warnung veröffentlicht und erläutern einige der beobachteten Missbrauchsversuche detaillierter.

Ivanti hält sich mit Details zu den Sicherheitslücken stark zurück, die IT-Forscher von Palo Alto Networks Unit42 liefern jedoch genauere Hinweise. Die eine Schwachstelle stammt von veralteten Bash-Skripten, die der mitgelieferte Apache-Web-Server für URL-Rewriting verwendet (CVE-2026-1281, CVSS 9.8, Risiko „kritisch“). Die zweite Lücke stammt ebenfalls von einem unsicheren Bash-Skript, betrifft jedoch den Android-Dateitransfer-Mechanismus von Ivanti (CVE-2026-1340, CVSS 9.8, Risiko „kritisch“).

Die Angreifer richten nach Missbrauch der Schwachstellen demnach Reverse Shells und Web Shells ein, forschen die Umgebung aus und laden weitere Malware nach. Angriffsziele sind laut Unit42 Staats- und lokale Regierungen, das Gesundheitswesen, Fertigung/Produktion, Rechtsanwaltskanzleien und der High-Tech-Sektor.

BSI verteilt Erkennungsskript

Das BSI hat ebenfalls vergangene Woche eine aktualisierte Warnung herausgegeben. Die Behörde liefert ebenfalls Hinweise auf (erfolgreiche) Angriffe (Indicators of Compromise, IOCs) und weist eindringlich auf ein Erkennungsskript hin, das Ivanti mit der niederländischen IT-Sicherheitsbehörde NCSC-NL veröffentlicht hat. Es handelt sich um Ivanti-Host-EPMM-Scan-v2-0S-2 sowie um Ivanti-Host-EPMM-Scan-v2-0L-2, beide am 12. Februar 2026 aktualisiert.

Videos by heise

Das BSI ordnet die Lücken und Angriffe darauf in die dritte Schweregrad-Kategorie „Orange“ ein. Für die Praxis übersetzt heißt das, „Maßnahmen müssen unverzüglich ergriffen werden. Massive Beeinträchtigung des Regelbetriebs möglich“. Das BSI hat Hinweise, dass die Schwachstellen mindestens seit Sommer 2025 angegriffen werden. Das sollten Admins bei ihren Untersuchungen berücksichtigen.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten