Ivanti hat Sicherheits-Patches veröffentlicht, um zwei kritische Schwachstellen zu korrigieren, die seine mobile Geräteverwaltungslösung Ivanti Endpoint Manager Mobile (EPMM) beeinflussen und bereits in Zero-Day-Angriffen verwendet werden. Beide Fehler, identifiziert als CVE-2026-1281 und CVE-2026-1340, erhalten eine sehr hohe Punktzahl auf der CVSS-Skala (9.8) und ermöglichen die Injektion von Code, die zu einer entfernten unauthenticated Ausführung auf der betroffenen Anwendung führen könnte.
Das Unternehmen hat berichtet, dass diese Schwächen spezifische Produktfunktionen beeinflussen, insbesondere die interne Verteilung von Anwendungen (In-House Application Distribution) und die Dateiübertragungskonfiguration für Android (Android File Transfer Configuration), und hat deutlich gemacht, dass andere Produkte der Familie Ivanti - wie Ivanti Neurons für MDM, Ivanti Endpoint Manager (EPM) oder Ivanti Sentry - von diesen Fehlern nicht betroffen sind. Die offizielle Mitteilung und der technische Leitfaden sind in Ivanti Foren verfügbar, in denen sie die Ausbeutung und Minderungssszenarien erklären: Sicherheitshinweis von Ivanti und detaillierte Analyse mit technischer Anleitung.
Beide Schwachstellen wurden als in der Natur ausgebeutet eingestuft, und die US-Infrastruktur- und Cybersicherheitsagentur. Die Vereinigten Staaten (CISA) hat mindestens eine von ihnen - CVE-2026-1281 - in ihren Katalog von Schwachstellen, die bekanntermaßen genutzt werden (Known Exploited Vulnerabilities, KEV), die Bundesbehörden zwingen, die Korrekturen in sehr kurzer Zeit anzuwenden. Die CISA-Mitteilung mit dem Eintrag und der Katalogseite finden Sie hier: CISA-Benachrichtigung und KEV Katalog.
Die Ausbeutung dieser Fehler ermöglicht es einem Angreifer, Code in die EPMM-Applikation einzuleiten und willkürliche Ausführung ohne Authentisierung zu erhalten, die die Tür öffnet, um die Infrastruktur zu gefährden und auf sensible Informationen über die verwalteten Geräte zuzugreifen. Ivanti beschreibt, dass historisch erfolgreiche Angriffe auf frühere EPMM-Varianten durch die Einführung von Persistenz durch Web-Shells oder Reverse-Shells beendet sind, Techniken, die einen langen Zugriff auf das kompromittierte System gewährleisten.
Die betroffenen Versionen umfassen Zweige von EPMM bis zu 12.5.x, 12.6.x und 12.7.x nach der veröffentlichten Versionsmatrix; zum Teil zeigt das Unternehmen, dass die endgültige Korrektur dauerhaft in die Version 12.8.0.0 aufgenommen wird, dass sie im ersten Quartal 2026 starten wird. Als sofortige Maßnahme hat Ivanti einen Patch im RPM-Format verteilt, warnt aber, dass dieser Patch kein Versionsupdate überlebt: Wenn die Anwendung nach der Anwendung der RPM aktualisiert wird, wird es notwendig sein, es neu zu installieren.
Ivanti berichtet auch, dass es eine kleine Anzahl von Kunden entdeckt hat, die zum Zeitpunkt der Offenlegung ausgenutzt wurden, aber dass es noch keine atomaren und vertretbaren Verpflichtungsindikatoren hat, die es dem Schauspieler ermöglichen, die Aktivität hinter den Angriffen zuverlässig zu verfolgen. Diese Unsicherheit ist genau, warum das Unternehmen Anweisungen für die Suche nach Beweisen in den Systemen und für Eindämmung und Erholung bietet, wenn ein Eindringen bestätigt wird.
Zur Identifizierung von Versuchen oder Incursions geht die operative Empfehlung weiter, um das Apache-Zugriffsprotokoll zu überprüfen, das sich in / var / log / httpd / https-access _ log auf der Suche nach Mustern in den Petitionen an die beteiligten Endpunkte. Ivanti bietet einen regelmäßigen Ausdruck, der hilft, Anwendungen zu erkennen, die 404 Codes mit Missbrauchsversuchen auf den Strecken / mifs / c / (aft-124; App) speichern / fob; unter normalen Bedingungen legitime Anrufe müssen 200 zurück, während gescheiterte Versuche oder Farmen oft 404 verursachen. Aufzeichnungen zu finden, die zu diesem Muster passen, oder anomale Reaktionen, sollte zu einer tieferen Untersuchung führen.
Neben der Überwachung von Web-Logs empfiehlt Ivanti, aktuelle Änderungen in der Konfiguration selbst zu überprüfen: Überprüfen Sie neue oder geänderte Administratoren, überprüfen Sie Authentifizierungseinstellungen wie SSO und LDAP, überprüfen Sie Push-Anwendungen und deren Konfiguration, hinzugefügte oder geänderte Richtlinien und Änderungen in Netzwerk- oder VPN-Konfiguration, die auf mobile Geräte eingesetzt werden. Wenn Zeichen der Verpflichtung identifiziert werden, ist die feste Empfehlung, die Anwendung aus einer zuverlässigen Sicherung wiederherzustellen oder eine neue Instanz zu erstellen und Daten zu migrieren, und dann kritische Anmeldeinformationen und Zertifikate zu drehen.
Im Falle der Reinigung nach einem Zwischenfall umfassen die vorgeschlagenen Eindämmungsaktionen die Wiederherstellung von EPMM lokalen Kontokennwörtern, die Änderung der für LDAP- oder KDC-Suche genutzten Dienstberechtigungen, das Wiederholen und Ersetzen des Antragszeugnisses und die Aktualisierung eines anderen mit der Umgebung verknüpften Servicekontos. Diese Maßnahmen versuchen, Hintertüren und Anmeldeinformationen zu entfernen, die ein Angreifer während des Eindringens ausgefiltert oder erhalten haben kann.
Bei Sicherheitsmanagern und -ausrüstungen liegt die unmittelbare Priorität darin, die offiziellen Ivanti-Patches nach Möglichkeit anzuwenden und zu bestätigen, dass die Korrektur nach jedem Versionsupdate aufbewahrt wird; wenn die temporäre RPM verwendet wird, muss sie nach jedem Upgrade neu installiert werden, bis die Version 12.8.0.0 eingesetzt wird. Ivanti Notizen und Updates können in Ihrem Anzeige-Bereich konsultiert werden: forum / Iwanti's hinweis.
Der Eintrag von CVE-2026-1281 im KEV-Katalog hat die regulatorischen Fristen für US-Regierungsbehörden beschleunigt: Bundesbehörden müssen die Korrekturen in der von CISA gesetzten Frist angewendet haben, die in diesem Fall eine rasche Einhaltung gefordert hat. Für Teams außerhalb des Bundesniveaus ist die praktische Empfehlung identisch: priorisieren Sie das Update, überwachen Sie Beweise für verdächtige Aktivitäten und werden auf Vorfälle reagiert, die Wiederherstellung von zuverlässigen Kopien, Rekonstruktion von Anwendungen und Rotation von kritischen Anmeldeinformationen beinhalten.
In einer Umgebung, in der mobile Management-Plattformen Zugriff und sensible Daten auf die Geräte einer Organisation konzentrieren, ist eine Schwachstelle, die eine Remote-Ausführung ohne Authentifizierung ermöglicht, keine geringfügige Bedrohung. Die Aufrechterhaltung aktueller Systeme, die Überprüfung von Änderungen in Einstellungen und die Durchführung klarer Prozesse der Wiederherstellung und Rotation von Anmeldeinformationen sind Maßnahmen, die das Risiko reduzieren und die Reaktion auf einen Eingriff beschleunigen. Weitere Informationen und technische Schritte finden Sie in der Mitteilung von Ivanti und dem CISA-Führer: Analyse und Anleitung von Ivanti und CISA-Benachrichtigung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...