Ivanti EPMM: CVE-2026-1281/1340 aktiv ausgenutzt

Ivanti EPMM: CVE-2026-1281/1340 aktiv ausgenutzt

Ivanti Endpoint Manager Mobile (EPMM, ehemals MobileIron Core) ist von zwei kritischen Schwachstellen betroffen (CVE-2026-1281, CVE-2026-1340; CVSS 9.8). Mindestens CVE-2026-1281 wird laut Herstellerangaben und BSI-Hinweisen aktiv ausgenutzt. Nach Veröffentlichung technischer Details und PoC-naher Analysen nahm die Aktivität deutlich zu. Für betroffene Organisationen reicht Patchen allein nicht: Neben Updates sind Kompromittierungsprüfung, belastbare Telemetrie und SOC-Playbooks erforderlich.

• Was ist passiert?
• Technische Einordnung (CVE/CVSS/Exploit-Status)
• Betroffene Systeme
• Angriffsszenario
• SOC & Detection Perspektive
• Handlungsempfehlungen
• Enterprise Risk Matrix
• Quellen

Was ist passiert?

Am 29. Januar 2026 veröffentlichte Ivanti ein Advisory zu zwei kritischen Schwachstellen in seiner Mobilgeräte-Management-Lösung Endpoint Manager Mobile (EPMM). Das BSI CERT-Bund berichtet, dass die Schwachstellen einem entfernten, nicht authentifizierten Angreifer Codeausführung ermöglichen und nach CVSS 3.1 mit 9.8 als „kritisch“ bewertet wurden. Ivanti gibt an, dass CVE-2026-1281 bereits bei einer begrenzten Anzahl an Kunden ausgenutzt wurde. In Folge veröffentlichter technischer Analysen und PoC-naher Informationen wurden weitere Ausnutzungsaktivitäten beobachtet.

Technische Einordnung (CVE/CVSS/Exploit-Status)

Schwachstellen im Überblick

1. CVE-2026-1281 – CVSS 3.1: 9.8 (kritisch), Pre-Auth Remote Code Execution, aktive Ausnutzung dokumentiert.
2. CVE-2026-1340 – CVSS 3.1: 9.8 (kritisch), im selben Advisory veröffentlicht.

Für die Verteidigung ist insbesondere die Kombination aus Perimeter-Exposition (EPMM wird häufig öffentlich erreichbar betrieben) und hoher Vertrauensstellung (MDM/UEM als zentrale Steuerungsplattform) entscheidend. Das BSI weist darauf hin, dass Payloads und IoCs variieren. Wiederholt beobachtet wurden jedoch .jsp-Dateien, die als In-Memory Class Loader fungieren. Dadurch sind rein IOC-basierte Maßnahmen erfahrungsgemäß nicht ausreichend.

Betroffene Systeme

Betroffen ist Ivanti Endpoint Manager Mobile (EPMM) – insbesondere Instanzen, die aus dem Internet oder aus untrusted Netzsegmenten erreichbar sind. EPMM-Appliances können zudem sensible Informationen über verwaltete Geräte enthalten, was die Attraktivität als Initial-Access-Ziel weiter erhöht.

Angriffsszenario

Ein typisches Angriffsmuster in diesem Kontext umfasst:

1. Scanning nach EPMM-Instanzen und verwundbaren Endpunkten
2. Pre-Auth Exploitation (RCE) und initiale Codeausführung
3. Platzierung bzw. Vorbereitung von Zugängen (z.B. Web- oder In-Memory-Loader-Mechanik)
4. Follow-on: Lateral Movement, Credential Access, Datenzugriff, Persistenz

SOC & Detection Perspektive

Log-Indikatoren (praxisnah)

1. Web-/Proxy-Logs: Auffällige Requests auf EPMM-spezifische Pfade (z.B. /mifs-ähnliche Strukturen), ungewöhnliche Parameterlängen/Sonderzeichen, 4xx/5xx-Spikes in kurzer Zeit.
2. Datei-/Webroot-Artefakte: neue/ungewöhnliche .jsp-Dateien, unerwartete Schreibvorgänge in Web-/App-Verzeichnissen, Abweichungen von Baselines.
3. DNS/Egress: unerwartete DNS-Anfragen oder ausgehender Traffic der Appliance zu unbekannten Zielen.

MITRE ATT&CK (Auszug)

• T1190 Exploit Public-Facing Application
• T1505.003 Web Shell (bei JSP-Artefakten)
• T1021 Remote Services (Lateral Movement)

Handlungsempfehlungen

Priorität 1: Patch / Mitigation

Updates und Herstellerempfehlungen sollten umgehend umgesetzt werden – insbesondere bei Internet-Exposition. Wo Patchen kurzfristig nicht möglich ist, sind Mitigations strikt nach Hersteller/BSI umzusetzen.

Priorität 2: Kompromittierungsprüfung

Aufgrund aktiver Ausnutzung ist „Patchen und weiter“ nicht ausreichend. Das BSI verweist auf ein Erkennungsskript (in Zusammenarbeit mit NCSC-NL), das aktualisiert wurde. Dieses sollte in aktueller Version ausgeführt werden, um Hinweise auf eine Kompromittierung zu finden. Zusätzlich sollten Logs rückwirkend geprüft werden.

Priorität 3: Exposure reduzieren & Monitoring verstärken

1. Admin-Zugriffe nur aus dedizierten Netzen/VPN, harte Segmentierung
2. Nur notwendige Endpunkte exponieren, Reverse Proxy/WAF mit umfassendem Logging
3. Zentrale Korrelation von HTTP-Logs, System-/Appliance-Logs sowie DNS/Egress

Enterprise Risk Matrix

Bewertung

• Technische Kritikalität: Critical – Pre-Auth RCE auf MDM/UEM-Appliance
• Exploit-Verfügbarkeit: Aktiv / PoC-nah – bestätigte Ausnutzung + öffentliche technische Analysen
• Business Impact: Hoch bis Kritisch – potenzieller Zugriff auf MDM-relevante Daten/Workflows
• Eintrittswahrscheinlichkeit: Hoch (bei Exposition) – beobachtete Scans/Exploitation-Wellen
• Gesamtrisiko: Critical

Quellen

• BSI CERT-Bund – „Ivanti EPMM – Aktive Angriffe über Zero-Day Schwachstellen beobachtet“ (2026) – https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2026/2026-221601-1032.html
• watchTowr Labs – technische Analyse (30.01.2026) – https://labs.watchtowr.com/someone-knows-bash-far-too-well-and-we-love-it-ivanti-epmm-pre-auth-rces-cve-2026-1281-cve-2026-1340/
• Help Net Security – „Ivanti EPMM exploitation: Researchers warn of ‘sleeper’ webshells“ (11.02.2026) – https://www.helpnetsecurity.com/2026/02/11/ivanti-epmm-sleeper-webshell/