Ende Januar hat Ivanti kritische Schwachstellen in Endpoint Manager Mobile (EPMM) geschlossen. Angreifer können dadurch Schadcode einschleusen – und machen das bereits, erste Angriffe waren bereits bekannt. Nun warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor weit verbreiteten Angriffen auf die Lücken und empfiehlt den Einsatz eines Erkennungsskripts zum Aufspüren erfolgreicher Attacken. Auch die IT-Sicherheitsforscher von Palo Alto haben eine Warnung veröffentlicht und erläutern einige der beobachteten Missbrauchsversuche detaillierter.

Ivanti hält sich mit Details zu den Sicherheitslücken stark zurück, die IT-Forscher von Palo Alto Networks Unit42 liefern jedoch genauere Hinweise. Die eine Schwachstelle stammt von veralteten Bash-Skripten, die der mitgelieferte Apache-Web-Server für URL-Rewriting verwendet (CVE-2026-1281, CVSS 9.8, Risiko „kritisch“). Die zweite Lücke stammt ebenfalls von einem unsicheren Bash-Skript, betrifft jedoch den Android-Dateitransfer-Mechanismus von Ivanti (CVE-2026-1340, CVSS 9.8, Risiko „kritisch“).

Die Angreifer richten nach Missbrauch der Schwachstellen demnach Reverse Shells und Web Shells ein, forschen die Umgebung aus und laden weitere Malware nach. Angriffsziele sind laut Unit42 Staats- und lokale Regierungen, das Gesundheitswesen, Fertigung/Produktion, Rechtsanwaltskanzleien und der High-Tech-Sektor.

BSI verteilt Erkennungsskript

Das BSI hat ebenfalls vergangene Woche eine aktualisierte Warnung herausgegeben. Die Behörde liefert ebenfalls Hinweise auf (erfolgreiche) Angriffe (Indicators of Compromise, IOCs) und weist eindringlich auf ein Erkennungsskript hin, das Ivanti mit der niederländischen IT-Sicherheitsbehörde NCSC-NL veröffentlicht hat. Es handelt sich um Ivanti-Host-EPMM-Scan-v2-0S-2 sowie um Ivanti-Host-EPMM-Scan-v2-0L-2, beide am 12. Februar 2026 aktualisiert.

Das BSI ordnet die Lücken und Angriffe darauf in die dritte Schweregrad-Kategorie „Orange“ ein. Für die Praxis übersetzt heißt das, „Maßnahmen müssen unverzüglich ergriffen werden. Massive Beeinträchtigung des Regelbetriebs möglich“. Das BSI hat Hinweise, dass die Schwachstellen mindestens seit Sommer 2025 angegriffen werden. Das sollten Admins bei ihren Untersuchungen berücksichtigen.

(dmk)

Deutschland muss offensive Fähigkeiten im Cyberspace entwickeln und auch einsetzen. Wir können uns dieser bereits stattfindenden Auseinandersetzung nicht länger verweigern.

Das Wort „Hackbacks“ verabscheue ich. Es ist ein aufgeblasener Politik-Marketing-Begriff, der falsche Assoziationen hervorruft. Als ob als direkte Antwort auf irgendwelche Hacks irgendwie „zurückgecybert“ würde. So funktioniert das aber nicht. Es geht nicht um Gegenschläge, sondern darum, ob man sich an einer Auseinandersetzung im Cyberspace aktiv beteiligt. Also lasst uns lieber von „offensiven Cyber-Fähigkeiten“ reden.

Eskalation im Cyberspace

Damit meine ich Möglichkeiten, in einer Auseinandersetzung durch gezielte Cyber-Angriffe Informationen über den Gegner zu beschaffen, diesen zu beeinflussen und auch seine IT-Infrastruktur lahmzulegen. Die Auseinandersetzung gibt es bereits. Da tobt seit Jahren ein Krieg direkt vor unserer Haustür, in dem wir ganz eindeutig und aus guten Gründen für die angegriffene Ukraine und damit gegen den Aggressor Russland Partei ergriffen haben. Wir sind also bereits Teil davon.

Und wir sehen auch die Auswirkungen im Cyberspace bereits: Russland greift Europa und die NATO mit all seinen Cyber-Kräften an. Die Kreml-nahe Gruppe NoName057(16) koordiniert ganz offen DDoS-Angriffe gegen europäische Behörden und Unternehmen. Sie führt sogar öffentliche Hitlisten der aktuell ins Visier zu nehmenden Opfer. Auch heise online tauchte dort nach Russland-kritischen Äußerungen bereits auf. Russlands Geheimdienste betreiben außerdem in großem Stil Desinformationskampagnen, die auf Verunsicherung der Bevölkerung und Destabilisierung unserer Demokratie abzielen.

Und zur Jahreswende hat Russland eine weitere rote Linie überschritten. Wie das polnische CERT detailliert dokumentiert, haben – mit ziemlicher Sicherheit russische – Angreifer mit einem zerstörerischen Sabotage-Angriff die Energieversorgung unseres Nachbarlandes attackiert. Polen ist genau wie wir EU- und NATO-Mitglied. Dass es trotzdem darauf bisher keinerlei Reaktion des Westens gab, wird vor allem eines zur Folge haben: Russland wird im Cyberspace munter weiter eskalieren. Die nächsten Cyber-Angriffe könnten Energie-Versorger hier in Deutschland treffen.

Funktioniert unser Cyber-Pazifismus?

Ich stelle mir seither die Frage: Können wir es uns wirklich leisten, uns dieser Auseinandersetzung im Cyberspace komplett zu verweigern oder genauer: dort immer nur einzustecken? Dem Cyber-Bully Russland die andere Cyber-Wange hinhalten, in der Hoffnung – ja welcher Hoffnung? Die werden doch nicht einfach aufhören. Warum sollten sie, wenn es funktioniert und für sie keine negativen Konsequenzen hat? Wir brauchen Möglichkeiten, diesen Aggressor in seine Schranken zu verweisen.

Man kann jetzt über die Unzuverlässigkeit der Informationen zur Täterschaft lamentieren. Doch Attribution hat sich so weit entwickelt, dass sie brauchbare Informationen über Tätergruppen und deren Herkunft liefern kann. Natürlich bleibt das Zuweisen der Verantwortung für Cyber-Angriffe ein schwieriges Handwerk, und es bleibt dabei immer etwas Rest-Unsicherheit. Genau deshalb machen direkte 1:1-Aktionen keinen Sinn. Denn da bestünde tatsächlich die Gefahr, mal den falschen zu beschuldigen und sich mit einer übereilten, direkten Antwort ins Unrecht zu setzen. Doch die generelle Entwicklung ist klar und unumstritten: Russland hat in den vergangenen Jahren seine Cyber-Angriffe gegen Europa und die NATO massiv ausgeweitet. Daran gibt es nichts zu deuteln. Und darauf haben wir – also Deutschland, die EU und die NATO – bislang keine angemessene Antwort.

Die könnte natürlich auch in anderen Bereichen erfolgen. Doch das haben wir ja bereits alles durchexerziert – ohne dass es Russland von einer Eskalation seiner Cyber-Aktivitäten abgeschreckt hätte. Glaubt jemand ernsthaft, dass eine Drohung mit weiteren Sanktionen oder der Ausweisung von Diplomaten Putin davon abhalten könnte, einen Cyber-Strike gegen deutsche KRITIS-Infrastruktur abzusegnen? Mit offensiven Cyber-Fähigkeiten ergeben sich da jedoch neue Möglichkeiten.

Gezielte Aktionen mit überschaubarem Risiko

Was spräche denn dagegen, in die IT-Infrastruktur von NoName* einzudringen und diese nachhaltig zu sabotieren? Das wäre ein deutlicher Schlag gegen Russlands offensive Cyber-Aktivitäten und es demonstriert, dass wir in der Lage und bereit sind, auf Eskalation in diesem Bereich zu reagieren. Man könnte auch wichtige Personen in Russlands Kriegs-Maschinerie identifizieren, deren Kommunikation überwachen und ihre Handys mit Spionage-Software infizieren. Die daraus gewonnenen Informationen wären sicher überaus nützlich für die Koordination weiterer Aktionen – auch außerhalb des Cyberspace.

Insbesondere bei Sabotage-Aktionen kann man zwar unbeabsichtigte Nebenwirkungen nie völlig ausschließen. Doch man darf diese Gefahr auch nicht überzeichnen. Tausende Ransomware-Attacken haben trotz ihres rücksichtslosen Charakters bislang vor allem finanziellen Schaden angerichtet. Wenn man Cyber-Strikes mit Bedacht ausführt, kann man anders als etwa bei Raketenangriffen die Gefahr für Menschenleben sehr gering halten.

Natürlich bedeutet das nicht, dass man die defensiven Bemühungen im Cyber-Space vernachlässigen darf. Bessere IT-Sicherheit und mehr Resilienz sind unverzichtbar und haben höchste Priorität. Speziell der Angriff auf Polens Energieversorger zeigt, dass da trotz NIS-2 noch vieles im Argen liegt. Aber Deutschland, die EU und die NATO brauchen jetzt auch offensive Fähigkeiten im Cyberspace, um in der Auseinandersetzung mit Russland nicht dauerhaft am kürzeren Hebel zu sitzen.

Diesen Kommentar schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

(ju)

Die Entwickler von Dell haben primär mehrere Schwachstellen in verschiedenen Komponenten von Drittanbietern geschlossen, die PowerProtect Data Manager nutzen. Davon ist in erster Linie der Linux-Kernel betroffen.

Diverse Sicherheitsprobleme

Wie aus einer Warnmeldung hervorgeht, sind unter anderem GnuPG, OpenSSL und Vim betroffen. Stichproben zeigen, dass der Großteil der Lücken mit dem Bedrohungsgrad „mittel“ eingestuft ist. Es gibt aber auch Schadcode-Schwachstellen im Kernel (etwa CVE-2023-53572 „hoch“).

Ferner wurden auch Lücken in der Backuplösung direkt geschlossen. So können Angreifer, die bereits über niedrige Nutzerrechte verfügen, in zwei Fällen Schadcode ausführen (CVE-2026-22266 „hoch“, CVE-2026-22267 „hoch“).

Die Entwickler versichern, die Sicherheitsprobleme in Dell PowerProtect Data Manager 19.22.0-24 gelöst zu haben. Alle vorigen Ausgaben sollen verwundbar sein.

Zuletzt hat Dell unzählige Schwachstellen in Avamar, iDRAC und NetWorker geschlossen.

(des)