Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine ungewöhnlich kurze Frist gesetzt: Amerikanische Bundesbehörden haben lediglich vier Tage Zeit, ihre Systeme gegen eine hochgefährliche Sicherheitslücke im Ivanti Endpoint Manager Mobile (EPMM) abzusichern. Der Hintergrund ist ernst – die Schwachstelle wird bereits aktiv in Zero-Day-Angriffen ausgenutzt.
Was steckt hinter CVE-2026-6973?
Die Schwachstelle trägt die Kennung CVE-2026-6973 und basiert auf einer fehlerhaften Eingabevalidierung innerhalb von Ivanti EPMM. Konkret ermöglicht sie Angreifern mit administrativen Rechten, beliebigen Code aus der Ferne auf betroffenen Systemen auszuführen – ein sogenannter Remote Code Execution-Angriff (RCE). Betroffen sind alle Versionen von EPMM bis einschließlich 12.8.0.0. Obwohl für einen erfolgreichen Angriff Admin-Rechte benötigt werden, ist die Gefahr keineswegs zu unterschätzen: Gerade in größeren Unternehmens- und Behördenumgebungen existieren häufig kompromittierte oder schlecht gesicherte Administratorkonten, die als Einstiegspunkt dienen können.
Patches verfügbar – aber die Zeit drängt
Ivanti hat auf die Bedrohung reagiert und stellt korrigierte Versionen seiner Software bereit. Nutzer können die Schwachstelle durch ein Update auf EPMM 12.6.1.1, 12.7.0.1 oder 12.8.0.1 schließen. Zusätzlich empfiehlt der Hersteller, alle Konten mit Administratorrechten zu überprüfen und die entsprechenden Zugangsdaten umgehend zu rotieren. Letzteres ist eine wichtige Maßnahme, da im Falle einer bereits erfolgten Kompromittierung gestohlene Credentials sonst weiterhin nutzbar bleiben.
Ivanti erneut im Fokus – ein Muster zeichnet sich ab
Für Ivanti ist dies kein Einzelfall. Das Unternehmen, das Lösungen für Mobile Device Management (MDM) und Endpoint-Sicherheit anbietet, stand in den vergangenen Jahren wiederholt wegen schwerwiegender Sicherheitslücken in der Kritik. Bereits 2024 sorgten mehrere Zero-Day-Schwachstellen in Ivanti-Produkten für Aufsehen, als staatlich gesponserte Angreifer diese gezielt für Spionageoperationen nutzten. Dieser Kontext erklärt, warum die CISA diesmal mit einer besonders kurzen Patchfrist reagiert – die Behörde hat offensichtlich aus früheren Vorfällen gelernt und will ein erneutes Aushebeln von Bundesinfrastruktur verhindern.
Was bedeutet das für Unternehmen und Administratoren?
Auch wenn die CISA-Direktive formal nur für US-Bundesbehörden gilt, sollten Unternehmen weltweit – und insbesondere in Deutschland – die Warnung ernst nehmen. EPMM wird in vielen mittleren und großen Organisationen zur Verwaltung mobiler Endgeräte eingesetzt. Administratoren sollten daher unverzüglich prüfen, welche EPMM-Version im Einsatz ist, und das Update ohne Verzögerung einspielen. Parallel dazu ist eine Überprüfung der Admin-Konten auf ungewöhnliche Aktivitäten dringend ratsam. Ivanti selbst gibt an, dass die bekannte Ausnutzung der Lücke zum Zeitpunkt der Offenlegung noch sehr begrenzt war – doch erfahrungsgemäß steigt die Angriffswelle nach einer öffentlichen Bekanntmachung rapide an, da Bedrohungsakteure die veröffentlichten Details für eigene Exploits nutzen.
Die Kombination aus aktivem Zero-Day-Exploit, einem bekannten Angriffsziel und der Beteiligung einer nationalen Sicherheitsbehörde macht diesen Vorfall zu einem klaren Warnsignal für alle Organisationen, die auf Ivanti-Produkte setzen.
Quellen: BleepingComputer