Threat Intelligence Analyse hat eine konzentrierte Kampagne gegen Ivanti Endpoint Manager Mobile (EPMM) entdeckt, in der ein einzelner Schauspieler scheint hinter den aktivsten Betrieben zu sein von zwei kritischen Fehlern auf der Plattform identifiziert. Diese Schwachstellen, die in Berichten wie CVE-2026-21962 und CVE-2026-24061 aufgeführt sind, erlauben die Injektion von Code ohne Authentifizierung und können daher zu der Remotecode Ausführung (CERs) auf exponierten Systemen, so dass sie extrem gefährliche Vektoren, wenn nicht schnell gemildert.
Das Internet Intelligence-Unternehmen GreyNoise hat eine detaillierte Folge der zwischen dem 1. und 9. Februar beobachteten Aktivität veröffentlicht: Während dieser Zeit sammelten sie 417 Betriebsversuchssitzungen von nur acht verschiedenen IP-Adressen, und wo ein sehr klares Muster der Automatisierung und Fokus auf die oben genannten Fehler zu sehen ist. Sie können GreyNoise's Bericht hier lesen: http: / / www.greynoise.io / blog / active-ivanti-exploitation.
Die auffälligste von GreyNoise's Arbeit ist, dass eine einzelne IP-Adresse - 193 [.] 24 [.] 123 [.] 42, im autonomen System PROSPERO OOO (AS200593) untergebracht - konzentriert sich mehr als 83 % des Gesamtvolumens der erfassten Sitzungen. Censys und andere Analysten haben AS als kugelsichere Natur beschrieben, d.h. eine missbrauchstolerante Infrastruktur, die häufig für schädliche Operationen verwendet wird, um schnelle Blockaden oder Rücknahmen von Ressourcen durch legitime Lieferanten zu vermeiden. Für solche Zusammenhänge ist es angebracht, Suchplattformen für Hosts und ASN als Censys um mehr Signale über die Infrastruktur zu erhalten.
Die beobachtete Aktivität zeigt sehr intensive Punktspitzen: am 8. Februar wurden 269 Sitzungen an einem einzigen Tag aufgezeichnet, fast 13 Mal mehr als der tägliche Durchschnitt von etwa 22 Sitzungen, die in der übrigen diskutierten Periode gesehen werden. Darüber hinaus scheint die Kampagne voll automatisiert zu sein, mit Rotationen von bis zu dreihundert verschiedenen Anwendern, um Anfragen zu verstecken oder zu diversifizieren und es schwierig zu machen, durch einfache Muster zu identifizieren.
Eine Daten, die kommerzielle Ziele im Angriff nahelegt, ist, dass 85% der Sitzungen (354 der 417 aufgezeichnet) DNS-Callbacks im OAST-Stil verwendet, um zu überprüfen, ob der Remote-Code korrekt ausgeführt wurde. Dieses Verhalten ist typisch für Schauspieler, die versuchen, den ersten Zugriff zu validieren und dann zu verkaufen oder wiederzuverwenden, was der Aktivität von Erstzugriffsbrokern entspricht.
Parallel weisen die Forscher Diskrepanzen zwischen den in einigen Berichten veröffentlichten und beobachteten Telemetrieindikatoren (IoC) auf: z.B. Adressen, die mit kommerziellen VPN-Diensten verbunden sind, wie z.B. Windkirbe-Bereiche (185 [.] 212 [.] 171 [.] 0 / 24) sind in öffentlichen Auflistungen erschienen, aber in GreyNoises Telemetrie haben diese PIs Fälle von Oracle WebLogic abgetastet. Dies unterstreicht eine praktische Idee für Verteidigungsteams: Sperren nur öffentliche IoC kann die aktivste Quelle der Kampagne verlassen wenn dies nicht auf diesen Listen ist.
Neben Versuchen gegen Ivanti EPMM nutzte das gleiche IP, das dem Schauspieler zugeschrieben wurde, gleichzeitig andere Schwachstellen in verschiedenen Produkten - einschließlich Instanzen von Oracle WebLogic und GNU Inetutils Telnetd - aus und wurde auch mit der Ausbeutung von CVE-2025-24799 in GLPI verknüpft, wie folgt. Im Falle der WebLogic war die meisten der beobachteten Telemetrie genau jene Plattform, mit Tausenden von Sitzungen aufgezeichnet, die zeigt, dass ein einziger Ausgangspunkt mehrere Ziele parallel scannen und ausnutzen kann.
Ivanti hat einen Sicherheitshinweis mit sofortigen Hotfixes und Empfehlungen zur Minderung von EPMM-Versagen veröffentlicht; das Unternehmen hat auch bekannt gegeben, dass es komplette Patches in der Version 12.8.0.0 von EPMM im ersten Quartal starten wird. Bis diese Version verfügbar ist, berät Ivanti die Anwendung spezifischer RPM-Versionen gemäß der Branche der EPMM verwendet wird und als konservativere Maßnahme eine neue EPMM-Instanz erstellt und dort Daten migriert. Der offizielle Sicherheitshinweis und die Anweisungen des Lieferanten sind hier: Sicherheitshinweis von Ivanti und der Rekonstruktionsführer ist hier verfügbar: Anleitung zum Umbau von EPMM.
Bei Sicherheitsbeamten und Managern, die das EPMM leiten, ist die Schlussfolgerung klar: die vom Hersteller bereitgestellten Korrekturen unverzüglich anzuwenden und, soweit möglich, die vorsichtigste Empfehlung zu folgen, um auf eine rekonstruierte Instanz zu wandern, um Spuren früherer Verpflichtungen zu entfernen. Es ist auch angebracht, die Abwehre über eine einfache Liste von IoC hinaus zu erweitern und Verhaltensweisen zu überwachen: Erkennung von atypischen DNS-Abrufen, Verkehrsspitzen in Häfen und Strecken der Plattform, und Warnungen durch ungewöhnliche Benutzer-Agent-Muster sind nützliche Zeichen, die automatisierte Betriebsversuche vorwegnehmen können.
Die Kampagne hinterlässt eine weitere Moral für die Gemeinschaft: Moderne Angreifer kombinieren Massenautomatisierung, missbrauchstolerante Infrastruktur und Fernprüftechniken die Leistung Ihrer Operationen zu maximieren. Dies zwingt eine ebenso technische und proaktive Verteidigungsreaktion: agiles Patching, Segmentierung der exponierten Dienste und Zusammenarbeit zwischen Sicherheitsteams und Lieferanten, um echte Telemetrie zu teilen und sich nicht nur auf öffentlich verbreitete IoC zu verlassen.
Wenn Sie das EPMM oder die damit verbundene Infrastruktur verwalten, überprüfen Sie sofort die Empfehlungen des Herstellers und die Hinweise auf die öffentliche Intelligenz und erstellen Sie einen Antwortplan, der die Rekonstruktion von Instanzen und die kontinuierliche Überwachung vorsieht. Um die beobachteten technischen Erkenntnisse und Indikatoren zu vertiefen, überprüfen Sie GreyNoises Analyse hier: GreyNoise - Aktive Ivanti Ausbeutung, und überprüfen Sie Ivantis Support-Seiten, um die vorgeschlagenen Korrekturen anzuwenden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...