Ivanti hat eine dringende Warnung und Patches für eine entfernte Ausführung Sicherheitslücke der Schwere Code in seinem On-Premises Endpoint Manager Mobile (EPMM) Produkt, registriert als CVE-2026-6973. Nach Angaben des Unternehmens ist der Ausfall das Ergebnis eines falsche Eingangsvalidierung die es einem Angreifer mit administrativen Anmeldeinformationen ermöglicht, beliebigen Code in EPMM-Anlagen Version auszuführen 12.8.0.0 und höher, und die Ausbeutung wurde bereits bei Zero-Day-Angriffen festgestellt, obwohl Ivanti von sehr begrenztem Gebrauch in der Natur spricht.
Ivanti veröffentlicht die Versionen, die das Problem korrigieren: EPMM 12.6.1.1, 12.7.0.1 und 12.8.0.1 und weiter empfiehlt die Überprüfung und Rotation von Anmeldeinformationen mit administrativen Privilegien. Das Update betrifft nur das Produkt vor Ort EPMM und, nach Angaben des Unternehmens, Nein. ist in Ivanti Neurons für MDM (Cloud-Lösung) oder in anderen Produkten wie Ivanti EPM oder Ivanti Sentry vorhanden. Die offizielle Veröffentlichung enthält die Details und Links zum Download und zur Minderung: https: / / www.ivanti.com / blog / may-2026-epmm-security-update.
Die operative Landschaft verschärft die Dringlichkeit: Tracking-Projekte wie Shadowserver erkennen mehr als 850 öffentliche IP Adressen mit Ivanti EPMM-Drucken im Internet, konzentrierte sich vor allem in Europa und Nordamerika. Es gibt keine zuverlässige öffentliche Sicht, wie viele dieser Körper bereits Patches angewendet haben, so ist es vernünftig, davon auszugehen, dass ein erheblicher Anteil anfällig bleibt. Die Echtzeit-Erkennungskarte ist auf dem Shadowserver-Panel verfügbar: https: / / dashboard.Shadowserver.org /....
Dieser Patch wird zusammen mit Korrekturen für vier weitere Schwerkraftlücken in EPMM (CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 und CVE-2026-7821) veröffentlicht, die in verschiedenen Szenarien die Übernahme von administrativen Privilegien zur Supplantierung von Sentry-Hosts und den Zugang zu eingeschränkten Informationen ermöglichen. Ivanti hat keine öffentlichen Beweise für die Ausbeutung dieser anderen Fehler gefunden, obwohl er warnt, dass CVE-2026-7821 ohne Privilegien in Umgebungen mit Apple Device Enrollment konfiguriert werden kann.
Die jüngste Geschichte fügt Kontext hinzu: Ivanti hatte bereits im Januar zwei weitere kritische Schwachstellen in EPMM (CVE-2026-1281 und CVE-2026-1340) bei gezielten Angriffen auf eine begrenzte Anzahl von Kunden und der US-Infrastruktur- und Cybersicherheitsagentur gepatelt. USA (CISA) hat mehrere Iwanti-Versagen in seinem Katalog von Schwachstellen in der Natur ausgenutzt enthalten. CISA hält eine Aufzeichnung von bekannten ausgebeuteten Schwachstellen, die zahlreiche VHCs im Zusammenhang mit Ivanti umfasst: https: / / www.cisa.gov / Wissens-exploited-vulnerabilities-catalog.
Was Sicherheitsteams jetzt tun sollten: Erstens, priorisieren Sie die sofortige Installation der Patches angezeigt von Ivanti in allen betroffenen On-Premises EPMM und überprüfen Versionen nach dem Update. Wenn aus betrieblichen Gründen nicht sofort abgestellt werden kann, gelten vorübergehende Minderungen wie die Sperrung des externen Zugriffs auf den EPMM-Server-Management-Port aus dem Internet und die Einschränkung des Managementzugangs durch Zugangskontrolllisten (ACL) und VPNs der Administration. Überprüfung und Rotation von administrativen Anmeldeinformationen, ermöglichen Multifaktor-Authentifizierung, soweit möglich und begrenzen administrative Privilegien, um Ephemeral-Nutzungskonten.
Die Erkennung und Jagd von Eindringlingen sollte sich auf mehrere Fronten konzentrieren: auf der Suche nach Beweisen für die Erstellung oder Verwendung von anomalen Verwaltungskonten, die Überprüfung des Managementprotokolls für ungewöhnliche Befehle oder Gebührenausführungen, die Prüfung registrierter Sentry-Zertifikate und -Hosts und die Überprüfung der Integrität von Binaries und Konfigurationen. Wenn Ihre Organisation von den Schwachstellen von Januar betroffen war und der Empfehlung folgte, Anmeldeinformationen zu drehen, wird dies das Risiko gegen CVE-2026-6973 verringern, wie Ivanti ausführt; dennoch ist die technische Bestätigung durch forensische Analyse noch notwendig.
Über den unmittelbaren Patch hinaus sollten Organisationen die Position der Exposition neu denken: Vermeiden Sie, Management-Konsolen im Internet auszusetzen, Segmentierung von Management-Netzwerken, Anwendung von identitätsbasierten Zugangskontrollen und minimalem Privileg, und Stärkung von Patch-Management-Prozessen und Regressionstests, um das Belichtungsfenster auf zukünftige Null-Tage zu reduzieren. Angesichts der Migration zu Cloud-managed Lösungen oder Architekturen mit zusätzlichen Kontrollen kann das operative Risiko, das mit kritischen On-Premises-Produkten verbunden ist, mildern.
Schließlich dokumentieren Sie den Vorfall in Ihrem Risiko-Inventar, informieren Sie relevante Interessenvertreter und koordinieren Sie, wenn Sie Anzeichen von Engagement erkennen, die Reaktion mit Ihrem Vorfall-Team und gegebenenfalls mit lokalen Regulierungsbehörden. Für Organisationen, die viele Endpunkte mit EPMM verwalten, die Schaffung einer beschleunigten Patch-Politik und Erholung Übungen wird verhindern, dass eine solche Verwundbarkeit zu einem großen Vorfall oder Missbrauch durch Ransomware Schauspieler.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...