Datenschutz & Sicherheit

BSI-Warnung: Ivanti-EPMM-Lücke wird verbreitet missbraucht


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Ende Januar hat Ivanti kritische Schwachstellen in Endpoint Manager Mobile (EPMM) geschlossen. Angreifer können dadurch Schadcode einschleusen – und machen das bereits, erste Angriffe waren bereits bekannt. Nun warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor weit verbreiteten Angriffen auf die Lücken und empfiehlt den Einsatz eines Erkennungsskripts zum Aufspüren erfolgreicher Attacken. Auch die IT-Sicherheitsforscher von Palo Alto haben eine Warnung veröffentlicht und erläutern einige der beobachteten Missbrauchsversuche detaillierter.

Weiterlesen nach der Anzeige

Ivanti hält sich mit Details zu den Sicherheitslücken stark zurück, die IT-Forscher von Palo Alto Networks Unit42 liefern jedoch genauere Hinweise. Die eine Schwachstelle stammt von veralteten Bash-Skripten, die der mitgelieferte Apache-Web-Server für URL-Rewriting verwendet (CVE-2026-1281, CVSS 9.8, Risiko „kritisch“). Die zweite Lücke stammt ebenfalls von einem unsicheren Bash-Skript, betrifft jedoch den Android-Dateitransfer-Mechanismus von Ivanti (CVE-2026-1340, CVSS 9.8, Risiko „kritisch“).

Die Angreifer richten nach Missbrauch der Schwachstellen demnach Reverse Shells und Web Shells ein, forschen die Umgebung aus und laden weitere Malware nach. Angriffsziele sind laut Unit42 Staats- und lokale Regierungen, das Gesundheitswesen, Fertigung/Produktion, Rechtsanwaltskanzleien und der High-Tech-Sektor.

BSI verteilt Erkennungsskript

Das BSI hat ebenfalls vergangene Woche eine aktualisierte Warnung herausgegeben. Die Behörde liefert ebenfalls Hinweise auf (erfolgreiche) Angriffe (Indicators of Compromise, IOCs) und weist eindringlich auf ein Erkennungsskript hin, das Ivanti mit der niederländischen IT-Sicherheitsbehörde NCSC-NL veröffentlicht hat. Es handelt sich um Ivanti-Host-EPMM-Scan-v2-0S-2 sowie um Ivanti-Host-EPMM-Scan-v2-0L-2, beide am 12. Februar 2026 aktualisiert.

Das BSI ordnet die Lücken und Angriffe darauf in die dritte Schweregrad-Kategorie „Orange“ ein. Für die Praxis übersetzt heißt das, „Maßnahmen müssen unverzüglich ergriffen werden. Massive Beeinträchtigung des Regelbetriebs möglich“. Das BSI hat Hinweise, dass die Schwachstellen mindestens seit Sommer 2025 angegriffen werden. Das sollten Admins bei ihren Untersuchungen berücksichtigen.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen