Die Alarme in der Cyber-Sicherheits-Welt wurden kürzlich um eine kritische Schwäche im Ivanti Endpoint Manager Mobile (EPMM) beleuchtet. Forscher der GreyNoise Network Intelligence-Firma entdeckten Hunderte von ausbeutenden Versuchen, die auf diesen Fehler zielten, und das Auffallen war nicht nur die Menge, sondern die Konzentration: die meisten der bösartigen Aktivität kam aus einer einzigen IP-Adresse in einer kugelsicheren Infrastruktur im Zusammenhang mit PROSPERO untergebracht. Der eine oder eine Plattform koordiniert die meisten Angriffe spricht von großräumiger Automatisierung und hochentwickelten Erkennungsstrategien. Weitere technische Details und erste Zahlen wurden von GreyNoise in seiner Analyse der aktiven Ausbeutung von Ivanti veröffentlicht: https: / / www.greynoise. io / blog / aktiv-ivanti-exploitation.
Die in Frage stehenden Sicherheitslücken erlauben schlimmstenfalls die Remote-Ausführung von Code ohne Authentifizierung, was seine Gefahr erhöht. Einer von ihnen, identifiziert als CVE-2026-1281, erhielt eine sehr hohe CVSS-Score (9.8), und es wurde beobachtet, dass die Angreifer diese Fehler sofort nach ihrer öffentlichen Offenlegung testen. In Umgebungen, in denen das mobile Gerätemanagement (MDM) dem Internet ausgesetzt ist, kann eine Lücke im Managementsystem zu einem Gateway werden, um die gesamte Unternehmensinfrastruktur zu gefährden.
Das von GreyNoise beschriebene Aktivitätsmuster war nicht nur auf Ivanti beschränkt: Das gleiche IP, das eine große Menge an Versuchen gegen EPMM zeigte, nutzte gleichzeitig andere Schwachstellen in nicht verwandten Produkten. Dazu gehören Fehler in Oracle WebLogic, der GNU InetUtils telnet-Demon und GLPI, letztere öffentlich in der NIST-Verwundbarkeitsdatenbank referiert: CVE-2025-24799. Der gleichzeitige Betrieb mehrerer Produkte ist typisch für automatisierte Werkzeuge, die das Internet auf der Suche nach gefährdeten Zielen fegen.
Weitere relevante Daten sind die Footprint-Diversität des Angreifers: GreyNoise aufgezeichnete Rotationen von mehr als 300 Anwender-Agent-Ketten, die verschiedene Browser und Betriebssysteme nachempfinden. Diese Signatur Mosaik hilft, die Aktivität zu tarnen und einfache Erkennungsregeln zu zeichnen. Darüber hinaus folgten etwa 85% der Sitzungen einem Kontrollmuster durch DNS-Beratungen, um zu überprüfen, ob das Ziel ausnutzbar war - ohne zunächst Malware zu verwenden oder Informationen zu extrahieren - eine Umfrage-Technik, die die Exposition des Angreifers reduziert und ihm erlaubt, Ziele zu katalogisieren, die für den zukünftigen Zugriff anfällig sind.
Diese Methode passt zu dem, was in der Branche als "initial access brokers" Tradecraft bekannt ist: Schauspieler, die den ersten Zugriff auf Netzwerke suchen und dann verkaufen oder an andere Gruppen mit Erpressung, Spionage oder die Bereitstellung von schädlichen Gebühren übertragen. In den letzten Tagen berichtete Defused Cyber über eine Kampagne, die eine "Sleeper Shell" - ein Java-Ladegerät im Speicher - in engagierten EPMM-Instanzen auf der Route "/ mifs / 403.jsp" gehostet hat. Auf diese Weise wird eine Rücktür inaktiv gelassen, bis die spätere Reaktivierung genau mit anfänglichen Zugriffsvorgängen übereinstimmt, die später monetisiert werden sollen.
Die IP-Verband mit einem Netzwerk, das als Zugehörigkeit zu PROSPERO bewertet wird, und die Verbindung, dass einige Analysten zu einem anderen autonomen System mit Geschichte in der Verteilung von verschiedenen Arten von Malware zeichnen, unterstreicht die Kontinuität zwischen "nachgiebige" Infrastruktur für Angriffe und organisierte kriminelle Aktivität. Obwohl die bloße Zugehörigkeit zu einer Infrastruktur nicht die individuelle Autorschaft von Angriffen beweist, bietet sie wichtige operative Rahmenbedingungen für Verteidiger und Antwortteams.
Was sollen die Sicherheitsbeamten, die Ivanti EPMM benutzen, tun? Die Priorität besteht darin, die vom Hersteller veröffentlichten Patches anzuwenden und alle Fälle von EPMM, die dem Internet ausgesetzt sind, zu überprüfen. Ivanti hält einen Raum mit seinen Sicherheitshinweisen und Updates, wo offizielle Empfehlungen und verfügbare Patches zu konsultieren sind: https: / / www.ivanti.com / support / security-advices. Neben dem sofortigen Parken ist es wichtig, die externe Oberfläche zu überprüfen, ungewöhnliche Zugriffsspuren zu suchen und DNS-Daten zu analysieren, um Callbacks zu identifizieren, die den Prüfmustern entsprechen (out-of-band Application Security Test).
Eine weitere vernünftige defensive Maßnahme besteht darin, zu überprüfen, ob die Route / mifs / 403.jsp oder ein anderes persistentes Lastsignal im Speicher in den EPMM-Instanzen erscheint und das dem PROSPERO (AS200593) zugeschriebene autonome System, soweit möglich, im Netzumfang zu blockieren. Diese Maßnahmen garantieren keine totale Immunität, sondern erhöhen die Kosten für einen Angreifer, der versucht, die Infrastruktur des Gerätemanagements zu nutzen.
Die Folgen eines engagierten EPMM sind ernst, weil sie es einem Angreifer ermöglichen, das Management von mobilen und Endpunkten einer ganzen Organisation zu manipulieren, die interne Pfade öffnet, die die traditionelle Segmentierung von Netzwerken überwinden können. Aus diesem Grund müssen Sicherheitsteams darauf achten, dass kritische Sicherheitslücken innerhalb von Stunden nach ihrer Veröffentlichung ausgenutzt werden können, und die mit dieser Geschwindigkeit in Einklang stehenden Designreaktions- und Minderungsprozesse.
Jenseits von Patches und Blockaden sollte dieser Vorfall als Erinnerung an breitere Praktiken genutzt werden: Begrenzung der öffentlichen Exposition von Management-Tools, strenge Segmentierung des Fernzugriffs, Stärkung der DNS-Verkehrsüberwachung und Anwendung von verhaltensbasierten Erkennungen, die nicht nur von statischen Signaturen abhängen. Die Sicherheit des Gerätemanagements ist eine Säule der Corporate Resilience; ein solcher Link kann Nutzer, Daten und operative Kontinuität nicht beeinflussen.
Die Folge spiegelt auch die Wirtschaft von Cyberkriminalität wider: die Vorliebe für Infrastruktur, die Missbrauch toleriert, die Verwendung von Massenscannungen zu Katalogopfern und die Erinnerung an Hintertüren zeigen, dass viele Angreifer nicht auf der Suche nach einer unmittelbaren Wirkung sind, sondern auf ein Portfolio von Zugriffen, die über die Zeit monetisiert werden können. Für Organisationen muss die Antwort ebenso geduldig und methodisch sein: zu Patchen, zu untersuchen, zu erhärten und gegebenenfalls zu teilen, Ergebnisse mit Behörden und der Gemeinschaft, um den Aktionsradius dieser Betreiber zu reduzieren.
Wenn Sie EPMM verwalten oder MDM dem Internet ausgesetzt verwalten, priorisieren Sie die Auswertung und Vermittlung jetzt. Evidence deutet darauf hin, dass die Operation schnell ist und dass die Angreifer automatisierte Werkzeuge haben, die mehrere Vektoren gleichzeitig testen. Halten Sie durch die offiziellen Mitteilungen des Lieferanten und die Analyse von Netzwerkinformationen, wie sie von GreyNoise veröffentlicht wurden, informiert und erwägen Sie zusätzliche Kontrollen, um verdächtige Aktivitäten zu erkennen und zu enthalten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...