#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

IVANTI-ALARM! EPMM-Zero-Day knallt JETZT auf KEV-Liste — DEINE Mobile-Geraete ROOTEN sich von alleine

IVANTI-ALARM! EPMM-Zero-Day knallt JETZT auf KEV-Liste — DEINE Mobile-Geraete ROOTEN sich von alleine

HEUTE laeuft die Patch-Frist ab — und dein Mobile Device Management koennte schon laengst uebernommen sein. Ivanti EPMM (Endpoint Manager Mobile) hat eine kritische Luecke. Die Luecke heisst CVE-2026-6973, sie wird AKTIV ausgenutzt, und CISA hat US-Behoerden bis HEUTE Zeit gegeben, zu patchen. Du auch.

SCHOCK: Was die Luecke wirklich kann

Die Schwachstelle ist eine Improper Input Validation. Ein Angreifer mit Admin-Rechten kann beliebigen Code auf der EPMM-Konsole ausfuehren. Klingt harmlos? Ist es nicht. Wer einmal Admin-Token klaut — etwa via Phishing oder geleakte Backups — faehrt eine ganze Mobile-Flotte aus dem Hinterhalt aus.

Ivanti bestaetigt: „Eine sehr begrenzte Anzahl von Kunden“ wurde in gezielten Angriffen kompromittiert. Was nach „nur ein paar“ klingt, ist in der Security-Branche der Code fuer „wir wissen, dass es Opfer gibt, sagen aber keine Namen“. CISA reichte das, um den Bug am 8. Mai auf die Known Exploited Vulnerabilities-Liste zu schieben.

BETROFFEN sind diese Versionen

Anfaellig sind alle Ivanti-EPMM-Builds bis einschliesslich 12.8.0.0. Das gilt sowohl fuer On-Premises-Installationen als auch fuer virtuelle Appliances.

  • Fix in 12.6.1.1 — fuer die LTS-Linie.
  • Fix in 12.7.0.1 — fuer die mittlere Stable-Linie.
  • Fix in 12.8.0.1 — fuer den Current Branch.

Ivanti hat fuenf weitere High-Severity-Bugs gleichzeitig gestopft. Wer also schon updaten muss: gleich alle anderen Patches mitnehmen.

So checkst du DEINE Installation in unter 5 MINUTEN

  1. Logg dich in die EPMM-Admin-Konsole ein.
  2. Geh auf Admin › System Configuration › Version Info.
  3. Vergleiche die Buildnummer mit den Fix-Releases oben.
  4. Liegst du drunter: Backup ziehen, Wartungsfenster setzen, patchen.

WICHTIG: Auch Credential-Rotation einplanen

Ivanti weist explizit auf einen Trick hin: Wer im Januar nach den Empfehlungen zu CVE-2026-1281 und CVE-2026-1340 die Admin-Zugaenge rotiert hat, ist deutlich besser geschuetzt. Wer nicht rotiert hat, sollte das jetzt SOFORT nachholen — denn Angreifer halten gestohlene Tokens lange vorraetig.

EXTRA-TIPP: Logs auf Login von neuer IP, neue API-Token, geaenderte Admin-Rollen filtern. Wenn da etwas Verdaechtiges auftaucht, ist das dein Indicator of Compromise.

FAZIT: Die Uhr laeuft ab

Du musst HEUTE patchen — nicht „diese Woche“, nicht „bis Monatsende“. CISA-Listen sind kein Pappkamerad: Versicherer, Auditoren und Compliance-Reviewer fragen ab Montag nach. Und wenn dein EPMM erstmal kompromittiert ist, haengt deine ganze Mobile-Geraete-Flotte mit dran.

Haeufige Fragen

Welche EPMM-Versionen sind betroffen?
Alle Ivanti EPMM-Versionen 12.8.0.0 und aelter sind anfaellig. Die Fixes liegen in 12.6.1.1, 12.7.0.1 und 12.8.0.1 vor. Cloud-gehostetes Ivanti Neurons ist laut Ivanti separat abgesichert; trotzdem solltest du die offizielle Ivanti-Security-Seite pruefen, ob deine Tenant-Version aktualisiert wurde.
Wie merke ich, ob mein System schon ausgenutzt wurde?
Suche in den EPMM-Logs nach unbekannten Admin-Logins, neu erstellten API-Tokens und ungewoehnlichen MDM-Profilen. CISA empfiehlt, Hosts mit privilegiertem Zugang zur EPMM-Konsole als kompromittiert zu behandeln, wenn keine Patches eingespielt sind. Forensik-Hinweise findest du in den Ivanti-Knowledge-Base-Artikeln zur CVE.
Wie behebe ich das Problem konkret?
Backup ziehen, Wartungsfenster ankuendigen, Patch-Paket von der Ivanti-Download-Seite einspielen, Reboot, dann Admin-Passwoerter und API-Tokens rotieren. Anschliessend Mobile-Geraete-Logs auf Anomalien pruefen. Bei Cloud-Tenants kontaktiere den Ivanti-Support direkt.
Gab es schon aktive Angriffe?
Ja. Ivanti bestaetigt eine sehr begrenzte Anzahl gezielter Angriffe vor dem Patch-Release. CISA listet die CVE als bekannt ausgenutzt und gab US-Behoerden eine Vier-Tage-Frist — auch ein Indikator dafuer, dass weitere Aktivitaet erwartet wird.
Was ist mit den vier weiteren EPMM-Bugs?
Ivanti hat im selben Mai-Patch fuenf High-Severity-Bugs adressiert. Keiner der weiteren Bugs ist laut Ivanti aktuell ausgenutzt, aber alle sind Pre-Auth- oder Auth-Eskalations-Risiken. Wer schon ein Wartungsfenster legt, sollte sofort alle Fixes einspielen.

Quellen: Help Net Security: Ivanti EPMM zero-day CVE-2026-6973, The Hacker News: Ivanti EPMM RCE Under Active Exploitation, BleepingComputer: CISA gives feds four days to patch Ivanti flaw, Ivanti: May 2026 EPMM Security Update.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert