Angriffswarnung für Ivanti Endpoint Manager, SolarWinds Web Help Desk und mehr

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Derzeit attackieren Kriminelle im Internet Sicherheitslücken in Ivantis Endpoint Manager, SolarWinds Web Help Desk und Omnissa (ex-VMware) Workspace ONE. Davor warnt aktuell die US-amerikanische IT-Sicherheitsbehörde CISA.

In ihrer Mitteilung nennt die CISA lediglich die angegriffenen Schwachstellen und Produktnamen. Informationen zu Art und Umfang der Attacken liefert die US-Behörde wie üblich nicht.

Angegriffene Sicherheitslecks

Die jüngste Schwachstelle betrifft Ivantis Endpoint Manager (EPM) 2024. Angreifer können ohne vorherige Anmeldung die Authentifizierung umgehen und dabei spezielle gespeicherte Zugangsdaten erlangen – die konkreten Auswirkungen, etwa ob sich damit die Instanzen vollständig übernehmen lassen, nennt Ivanti jedoch nicht. Der Schweregrad deutet jedoch in diese Richtung (CVE-2026-1603, CVSS 8.6, Risiko „hoch“). Mit den Sicherheitsupdates aus dem Februar, die Ivantis EPM auf den Stand 2024 SU5 hieven, schließt der Hersteller die Sicherheitslücke.

Eine kritische Sicherheitslücke in SolarWinds Web Help Desk wurde bereits im September vergangenen Jahres bekannt, sie betrifft die Ajax-Komponente. Diese deserialisiert Eingaben ohne vorherige Authentifizierung und erlaubt so Codeschmuggel aus dem Netz (CVE-2025-26399, CVSS 9.8, Risiko „kritisch“). Bereits im Februar wurden erste Angriffe auf die Lücke bekannt. Nun warnt die CISA vor aktuellen Missbrauchsfällen – noch immer haben IT-Verantwortliche die verfügbare Aktualisierung (zum Meldungszeitpunkt auf Stand SolarWinds WHD 2026.1) offenbar nicht angewendet.

Die letzte Schwachstelle, auf die die CISA aktuell Angriffe beobachtet hat, betrifft Omnissa (ehemals VMware) Workspace ONE. Bösartige Akteure können darin eine Server-Side-Request-Forgery-Schwachstelle (SSRF) missbrauchen und so unbefugten Zugriff auf sensible Informationen erlangen (CVE-2021-22054, CVSS 7.5, Risiko „hoch“). Updates stehen seit Ende 2021 zur Verfügung, um die Sicherheitslücke abzudichten.

IT-Verantwortliche sollten prüfen, ob in ihren Organisationen die verwundbare Software läuft, und die verfügbaren Updates zügig anwenden. Da keine Details zu den Angriffen vorliegen, fehlen jedoch auch Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins ihre Systeme prüfen könnten.

(dmk)