Ivanti EPMM: Update stopft bereits angegriffene Sicherheitslücken

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

In Ivantis Endpoint Manager Mobile (EPMM) klaffen mehrere Sicherheitslücken, von denen eine bereits im Internet angegriffen wird. Aktualisierte Software stopft die Sicherheitslecks. Admins sollten zügig handeln.

In der Update-Ankündigung für Ivantis EPMM schreiben die Entwickler des Unternehmens, dass sie von Missbrauch einer der Lücken bei einigen Kunden wissen; auch die US-amerikanische IT-Sicherheitsbehörde CISA hat die Schwachstelle bereits in ihren Known-Exploited-Vulnerabilities-Katalog aufgenommen. Für erfolgreiche Attacken benötigen Angreifer jedoch Admin-Rechte. Vorab empfiehlt Ivanti, Konten mit Admin-Rechten zu prüfen und gegebenenfalls die Zugangsdaten zu rotieren. Die anderen vier Schwachstellen seien jedoch noch nicht attackiert worden.

Insgesamt geht es um fünf Sicherheitslecks. Die bereits angegriffene Schwachstelle basiert auf einer unzureichenden Eingabeprüfung – Ivanti schreibt jedoch keine weiteren Hinweise, die eingrenzen würden, in welcher Komponente der Fehler liegt oder wie das angreifbar wäre (CVE-2026-6973, CVSS 7.2, Risiko „hoch“).

Umstrittenes Risiko

Die weiteren Schwachstellen sind im Schweregrad teils umstritten, etwa eine unzureichende Zugriffskontrolle, die Angreifern ohne vorherige Anmeldung das Aufrufen beliebiger Methoden erlaubt (CVE-2026-5788). Die NVD-Analysten stufen das mit einem CVSS-Wert von 9.8 als „kritisch“ ein, Ivanti bleibt jedoch entspannter bei CVSS 7.0, mithin einem „hohen“ Risiko. Eine unzureichende Zertifikatsprüfung ermöglicht Angreifern aus dem Netz ohne Authentifizierung, registrierte Sentry-Hosts zu fälschen und gültige CA-signierte Client-Zertifikate zu erhalten (CVE-2026-5787, CVSS laut NVD 9.1, Risiko „kritisch“, laut Ivanti CVSS 8.9, „hoch“).

Eine weitere unzureichende Zertifikatsprüfung erlaubt Angreifern aus dem Netz ohne vorherige Anmeldung, Geräte einzubinden, die zu einer begrenzten Liste an nicht eingebundenen Geräten gehört, was zum Abfluss von Informationen über die EPMM-Appliance führen kann (CVE-2026-7821, NVD: CVSS 9.1, Risiko „kritisch“; Ivanti: CVSS 7.4, „hoch“). Hier schränkt Ivanti in der Update-Ankündigung noch ein, dass Kunden, die das Apple-Device-Enrollment nicht konfiguriert haben und nicht nutzen, nicht davon betroffen sind. Die letzte gefixte Schwachstelle basiert auf unzureichenden Zugriffskontrollen, durch die authentifizierte Angreifer aus dem Netz Admin-Zugang erlangen können (CVE-2026-5786. CVSS 8.8, Risiko „hoch“).

Ivanti EPMM: Aktualisierte Software

Die Schwachstellen schließt Ivanti mit den Versionen Ivanti Endpoint Manager Mobile 12.6.1.1, 12.7.0.1 und 12.8.0.1 oder neueren. Die Downloads verlinkt der Hersteller in der Update-Ankündigung.

Sicherheitslücken in Ivantis EPMM sind immer wieder Ziel von bösartigen Akteuren. Im Februar warnte etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor weiter verbreitetem Missbrauch von Schwachstellen in der Verwaltungssoftware.

(dmk)