Mehrere aktuell bekannte Sicherheitsfälle zeigen: Die neue Schwachstelle in Ivanti EPMM wird aktiv ausgenutzt. Unternehmen sollten jetzt handeln!
Ivanti Endpoint Manager Mobile (EPMM) ist in vielen Organisationen zentraler Bestandteil des Mobile Device Managements. Umso kritischer ist die derzeit bekannte Sicherheitslücke, die Angreifern unter bestimmten Voraussetzungen unautorisierten Zugriff auf sensible Systeme ermöglichen kann.
Am 29. Januar 2026 veröffentlichte Ivanti Sicherheitsupdates für die kritischen Schwachstellen CVE‑2026‑1281 und CVE‑2026‑1340. Beide ermöglichen Remote Code Execution an einem nicht authentifizierten Endpunkt und wurden mit einem CVSS-Score von 9.8 (Critical) bewertet. Die U.S. CISA haben sie in ihr „Known Exploited Vulnerabilities“-Verzeichnis aufgenommen. Auch das BSI warnt: Die Lücken werden aktiv missbraucht, u. a. durch automatisierte Scans und gezielte Angriffe auf Ivanti EPMM. Teilweise hatten Angreifer monatelang unbemerkt Zugriff auf Daten und Geräteverwaltungssysteme, bevor Patches verfügbar waren. Die Schwachstelle ist nach aktuellem Kenntnisstand schon seit Mitte 2025 ausnutzbar, wird jedoch insbesondere seit Veröffentlichung der Patches Ende Januar massiv angegriffen.
Bei DigiFors beobachten wir aktuell mehrere Fälle, in denen genau diese Schwachstelle eine Rolle spielt.
Was ist betroffen?
Betroffen sind insbesondere öffentlich erreichbare Core-Instanzen von Ivanti EPMM, die nicht zeitnah gepatcht wurden. Nach unseren bisherigen Erkenntnissen sind Sentry-Systeme nicht unmittelbar betroffen, können jedoch gefährdet sein, wenn der Core kompromittiert wurde.
Die Schwachstelle ermöglicht in erster Linie die Ausführung beliebigen Codes auf dem betroffenen EPMM-System.
Auf bereits kompromittierten Systemen haben wir unter anderem folgende Schadensbilder festgestellt:
- Implantierte Webshells
- Reverse-Shell-Verbindungen
- Unerlaubter Datenabfluss
- Installation von weiterer Schadsoftware wie Cryptominern
Weitergehende Angriffe wie laterale Bewegung im Netzwerk oder die Vorbereitung zusätzlicher Angriffsschritte sind nach einer erfolgreichen Kompromittierung ebenfalls grundsätzlich möglich, ergeben sich jedoch nicht unmittelbar aus der Schwachstelle selbst.
Besonders kritisch: MDM-Lösungen verwalten eine Vielzahl angebundener Geräte und Systeme. Dadurch können mittelbar auch weitere Systeme und deren Daten betroffen sein.
Warum ist die Lage ernst?
Ivanti-Systeme stehen regelmäßig im Fokus professioneller Angreifer. Bereits in der Vergangenheit wurden Sicherheitslücken in Ivanti-Produkten gezielt und automatisiert ausgenutzt.
Was die aktuelle Situation verschärft:
- Unauthentifizierte Remote Code Execution ermöglicht ein breites Spektrum an Angriffsmustern
- CVSS 9.8 – Kritisch
- Seit Mitte 2025 ausnutzbar
- Massive Ausnutzung seit Patch-Veröffentlichung
- Öffentlich verfügbares Proof-of-Concept (PoC)
Ein technischer Proof-of-Concept wurde öffentlich dokumentiert (u. a. durch watchTowr Labs) und wird auch vom BSI referenziert. Zusätzlich wird die Schwachstelle in Threat-Intelligence-Berichten und Security-Communities diskutiert.
Unsere Erfahrung aus aktuellen Incident-Response-Fällen zeigt: Häufig bleibt ein initialer Zugriff lange unentdeckt.
Typische Indikatoren für eine Kompromittierung
Unternehmen sollten besonders aufmerksam werden bei:
- Auffälligen und unerwarteten API-Requests
- Unbekannten Konfigurationsänderungen
- Zunehmendem ausgehendem Datenverkehr vom EPMM-Server
Eine reine Patch-Installation reicht in vielen Fällen nicht aus, insbesondere wenn bereits ein initialer Zugriff stattgefunden hat.
Was Unternehmen jetzt tun sollten
- Versionsprüfung und sofortiges Einspielen der Sicherheitsupdates
- Nutzung des von Ivanti bereitgestellten Analyse-Skripts zur ersten IoC-Prüfung (Hinweis: Dieses ersetzt keine forensische Untersuchung)
- Forensische Analyse mutmaßlich betroffener Systeme
(auch vom BSI empfohlen) - Isolation kompromittierter Systeme
- Nutzen nicht kompromittierter Backups, mind. von vor dem 29.01.2026
(vorher Sicherung der vollständigen virtuellen Festplatte des mutmaßlich kompromittierten Standes, wenn Aufklärung gewünscht) - Zeitnahe Sicherung und Überprüfung von Firewall-Logdaten auf ungewöhnliche ausgehende Verbindungen
Insbesondere bei öffentlich erreichbaren Systemen empfehlen wir eine forensische Überprüfung.
Wie DigiFors unterstützen kann
Als spezialisiertes Team für Incident Response und IT-Forensik unterstützen wir Unternehmen bei:
- Kompromittierungsprüfung von Ivanti-Systemen
- Forensischer Analyse betroffener Server
- Log- und Artefakt-Analyse
- Absicherung nach einem Sicherheitsvorfall
- Strategischer Härtung der Infrastruktur
Da wir bereits mehrere aktuelle Fälle begleiten, kennen wir typische Angriffsvektoren und forensische Spurenbilder aus erster Hand.
Fazit
Die aktuelle Schwachstelle in Ivanti EPMM ist kein theoretisches Risiko. Sie wird aktiv ausgenutzt. Unternehmen sollten sofort prüfen, patchen und analysieren, um Schäden zu vermeiden.
Sollten Sie betroffen sein und zeitnahe Hilfe benötigen, melden Sie sich kurzfristig bei unseren Experten unter unserer Notfallnummer.
Cyberangriff erkannt?
Notfallnummer: +49 341 656733-81
