Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Version 1.3: Ivanti EPMM - Aktive Angriffe über Zero-Day Schwachstellen beobachtet

Datum 13.02.2026

Am 29. Januar veröffentlichte der Hersteller Ivanti ein Advisory zu zwei kritischen Schwachstellen in seiner Mobilgeräte-Management-Lösung Endpoint Manager Mobile (EPMM), ehemals MobileIron Core. Die Schwachstellen CVE-2026-1281 und CVE-2026-1340 erlauben einem entfernten, nicht-authentifizierten Angreifer die Ausführung von Code und wurden nach dem Common Vulnerability Scoring System (CVSS 3.1) mit einem Score von 9.8 ("kritisch") bewertet. Neben dem möglichen Lateral Movement im verbundenen Netzwerk enthalten EPMM-Appliances auch sensible Informationen über die verwalteten Geräte, die von Angreifern durch die Schwachstellen entwendet werden können.

Ivanti gibt an, dass die die Schwachstelle CVE-2026-1281 bereits bei einer begrenzten Anzahl an Kunden ausgenutzt wurde.

Update 1:
Bereits kurz nach der Veröffentlichung eines Blogbeitrags mit technischen Details sowie eines Proof-of-Concepts des IT-Sicherheitsunternehmens watchTowr Labs am 30. Januar wurde eine Ausnutzung durch weitere Cyberakteure beobachtet. Dem BSI ist bekannt, dass auch deutsche Organisationen Ziel der Angreifer wurden. Betreiber sollten daher proaktiv die Empfehlungen des Herstellers umsetzen – sowohl hinsichtlich Mitigation als auch Detektion – um eine Kompromittierung auszuschließen.
Zur Unterstützung bei der Detektion von Angriffen hat Ivanti in Zusammenarbeit mit NCSC-NL ein Erkennungsskript (Exploitation Detection RPM Package) entwickelt, welches auf Appliances nach bekannten Indikatoren (IoCs) sucht.

Update 2:
Inzwischen wurden weitere Analysen der beobachteten Angriffe veröffentlicht. Demnach variieren die bei den Vorfällen genutzten Payloads und IoCs grundsätzlich. Mehrfach beobachtet wurde jedoch die Kompromittierung von Ivanti EPMM mit .jsp-Dateien, die als In-Memory Class Loader fungieren. Weiterhin liegen dem BSI Hinweise darauf vor, dass eine Ausnutzung der Schwachstelle mindestens seit Sommer 2025 stattgefunden haben könnte.

Update 3:
Am 12. Februar hat Ivanti in Zusammenarbeit mit NCSC-NL das Erkennungsskript aktualisiert und um neue Indikatoren in der Detektion ergänzt. Betreiber sollten alle nochmals das neue Skript nutzen, um eigene Appliances auf eine Kompromittierung hin zu prüfen.