Die United States Agency for Infrastructure and Cybersecurity (CISA) hat im Ivanti Endpoint Manager (EPM) den Alarm wegen Schwerkraftverwundbarkeit erhoben und Bundesagenturen aufgefordert, innerhalb einer Zeit Patches anzuwenden. 3 Wochen. Registriert als CVE-2026-1603, der Ausfall ermöglicht Remote-Angreifern, Authentifizierungsmechanismen zu zeichnen und Anmeldeinformationen durch einen Cross-Site-Scribing (XSS)-Angriff zu extrahieren, der laut Warnungen eine geringe Komplexität aufweist und keine Interaktion durch den Benutzer erfordert.
Ivanti EPM ist eine integrale Plattform für die Verwaltung von Endpoints und Client-Geräten in mehreren Betriebssystemen und Umgebungen, einschließlich Windows, macOS, Linux, Chrome OS und IoT-Geräten. Diese Funktionsamplitude ist genau das, was Ihre Schwachstellen zu einem attraktiven Ziel macht: Ein Ausfall im Managementserver kann zu einem Zugriff auf Zehner oder Hunderte von verwalteten Geräten führen.
Ivanti veröffentlichte Korrekturen vor etwa einem Monat, als er die Version veröffentlichte Ivanti EPM 2024 SU5 die neben der Minderung von XSS eine SQL-Injektion korrigiert, die eine beliebige Datenlesung in der Datenbank ermöglichen könnte. Die Erklärung des Unternehmens enthält die verfügbaren Minderungen und Download-Links in seinem Sicherheits-Newsletter; es ist auf seinem Portal verfügbar. Beamte.
Obwohl Ivanti feststellte, dass die CISA bis zur Veröffentlichung ihrer Mitteilung und als sie von der Presse konsultiert wurde, keine bestätigten Benachrichtigungen über die Ausbeutung in den Kunden erhalten hatte, beschloss die CISA, die Sicherheitslücke in ihre Ein Katalog bekannter ausgebeuteter Schwachstellen (KEV) und beschrieben es als in realen Angriffen verwendet, eine Entscheidung, die oft auf Telemetrie aus mehreren Quellen basiert und beobachtete Angriffsmuster. Die eigene Bekanntmachung der neuen Inklusion in den Katalog nimmt diese Ergänzung und betont, dass solche Fehler häufige Vektoren für schädliche Akteure sind: siehe CISA-Anweisung und der spezifische Eintrag im Katalog kann konsultiert werden Hier..
Der potenzielle Umfang des Problems spiegelt sich auch in öffentlichen Scans wider: Die Shadowserver-Überwachungsplattform zeigt mehr als 700 Fälle von Ivanti EPM im Internet ausgesetzt, vor allem in Nordamerika, obwohl es keine öffentlichen Daten gibt, die angeben, wie viele dieser Fälle anfällig oder bereits gepatchte Versionen sind. Die Shadowserver-Ansicht bietet ein Röntgenbild des Zustands der öffentlichen Belichtung und kann auf Ihrem Dashboard überprüft werden: Shadowserver Statistiken anzeigen.
Die Bundesbehörden haben nicht isoliert gehandelt: Die Einbeziehung in die KEV löst eine verbindliche Verpflichtung für die zivilen Exekutivagenturen der amerikanischen Regierung. Sie müssen die Korrektur innerhalb der von der operativen Richtlinie festgelegten Frist anwenden. Diese Anforderung stammt aus der BOD 22-01, der Abteilung für Nationale Sicherheit Richtlinie, die Zeiten und Prioritäten festlegt, um Schwachstellen zu mildern, die in der Natur ausgenutzt werden; das vollständige Dokument ist auf der DHS-Website verfügbar: BOD 22-01.
Es ist wichtig, diese Episode in den Kontext zu setzen: Ivanti und andere Endpoints Manager wurden wiederkehrende Ziele. Im Jahr 2024 forderte die CISA bereits auf, Netzwerke gegen mehrere aktive PMS-Versagen zu sichern, und im Oktober dieses Jahres zwingten sie auch die Anwendung von Patches für eine weitere Schwachstelle von Ivanti in realen Umgebungen entdeckt. Die Wiederholung dieser Vorfälle zeigt zwei Realitäten in der aktuellen Cybersicherheitslandschaft: Zum einen konzentrieren zentrale Management-Tools potenzielle Auswirkungen; zum anderen, Angriffsgruppen priorisieren Fehler, die den ersten Zugriff oder die Exfiltration von Anmeldeinformationen erlauben.
Für Sicherheitsteams und Infrastrukturbetreiber gibt es eine Reihe praktischer Schritte, die sofort priorisiert werden sollten. Zuerst bestätigen Sie, ob eine betroffene Version von Ivanti EPM umgesetzt wird und die vom Lieferanten veröffentlichten Patches anwenden. Wenn es dann Internet zugängliche Instanzen gibt, empfiehlt es sich, den externen Zugriff durch Firewall und VPN einzuschränken und die vorübergehende Abschaltung freier Dienste während der Korrektur zu berücksichtigen. Es ist auch angebracht, Aufzeichnungen und Warnungen zu überprüfen, um ungewöhnliche Aktivitäten rund um das Administrationspanel zu erkennen, sowie die Rotation von Anmeldeinformationen und administrativen Schlüsseln zu zwingen, das Risiko im Falle eines Lecks zu minimieren. Schließlich reduziert die Authentifizierung von Netzwerken, Multifaktor-Authentifizierung und guter Privilegkontrolle die Wahrscheinlichkeit, dass eine isolierte Sicherheitslücke zu Kompromissen kritischer Umgebungen skaliert.
Ivanti bietet Dienstleistungen und Produkte an Zehntausende von Organisationen durch ein umfangreiches Netzwerk von Partnern, das die Bedeutung einer koordinierten und schnellen Reaktion multipliziert. Die Interaktion zwischen Herstellerankündigungen, Telemetrie von Organisationen wie Shadowserver und Agenturwarnungen wie CISA ist heute die beste Verteidigungslinie, um die Minderung von Hochrisikoausfällen zu beschleunigen. Wenn Sie EPM-Systeme verwalten, ist die Empfehlung klar: Prüfversionen, Patches anwenden und die öffentliche Exposition ohne Verzögerung reduzieren.
Um technische Informationen zu erweitern und die Entwicklung des Vorfalls zu verfolgen, sehen Sie die offiziellen Quellen, die mit diesem Text verbunden sind, und beachten Sie die Iwanti-Bulletins und die Aktualisierungen der CISA, die sowohl die Ausbeutungssituation als auch die Leitlinien für die Reaktion im Bundes- und Privatumfeld widerspiegeln.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...