Zurück zum Blog
Cybersecurity

Ivanti EPMM Zero-Days: CVE-2026-1281 und CVE-2026-1340 werden aktiv ausgenutzt

20. Februar 2026
6 Min. Lesezeit

# Worum es geht

Ivanti Endpoint Manager Mobile (EPMM) ist eine zentrale Plattform, um Smartphones und Tablets in Firmen zu verwalten (MDM/UEM). Wenn hier Zero-Days (also unbekannte oder ungepatchte Schwachstellen) aktiv ausgenutzt werden, ist das Risiko typischerweise grösser als bei normalen Bugs: Der Dienst hängt oft direkt am Internet, verwaltet sensible Geräte-Identitäten und hat hohe Rechte.

In diesem Beitrag geht es um die gemeldete aktive Ausnutzung der Ivanti-EPMM-Zero-Days CVE-2026-1281 und CVE-2026-1340 und darum, was du jetzt konkret tun solltest.

# Was bedeutet „exploited in the wild“ für dich?

Wenn eine Schwachstelle „in the wild“ ausgenutzt wird, heisst das:

  • Es gibt reale Angriffe, nicht nur Proof-of-Concept-Demos.
  • Angreifer automatisieren Scans und Angriffe oft schnell.
  • Zeit ist der kritische Faktor: Patchen und Eindämmen haben Priorität.

# Warum EPMM ein attraktives Ziel ist

EPMM sitzt an einer Stelle, wo viel zusammenläuft:

  • Geräte-Registrierung und Authentisierung
  • Konfigurationsprofile, Zertifikate, Tokens
  • Zugriff auf Unternehmensressourcen (z. B. VPN, E-Mail-Profile)

Ein erfolgreicher Angriff kann deshalb im schlimmsten Fall:

  • Admin-Zugriffe ermöglichen
  • Konfigurationen manipulieren
  • Seitliche Bewegung ins interne Netz erleichtern

# Sofortmassnahmen (in sinnvoller Reihenfolge)

1) Exponierung klären: Ist deine EPMM-Instanz erreichbar?

  • Prüfe, ob EPMM aus dem Internet erreichbar ist (DNS, Reverse Proxy, Load Balancer).
  • Wenn möglich: Zugriff auf bekannte Verwaltungsnetze/VPN einschränken.

2) Versionsstand und Patches prüfen

  • Ermittle die exakte EPMM-Version.
  • Vergleiche sie mit Ivanti-Security-Advisories und Hotfixes.
  • Patch so schnell wie möglich, aber mit kontrolliertem Change (Rollback-Plan).

3) Überprüfung auf Kompromittierung

Auch nach dem Patchen ist eine Überprüfung nötig. Ziele:

  • Wurde die Schwachstelle bereits ausgenutzt?
  • Gibt es neue Admin-Accounts, API-Tokens oder verdächtige Konfigurationsänderungen?

Konkrete Checks (praktisch, auch ohne tiefes Forensik-Team):

  • Admin-Logins: ungewöhnliche Uhrzeiten, neue IPs, fehlgeschlagene Login-Spitzen
  • Konfigurationsänderungen: neue SSO-Settings, neue Zertifikate, neue Integrationen
  • Systemindikatoren: neue Prozesse, unbekannte Dateien, ungeplante Neustarts
  • Netzwerk: ausgehende Verbindungen von EPMM zu unbekannten Zielen

Wenn du ein SIEM hast: Alarmiere auf neue Admin-Rollen, Änderungen an Authentisierung, und auf verdächtige Web-Reqüsts gegen EPMM.

4) Zugangsdaten und Geheimnisse rotieren

Wenn es Hinweise auf einen Angriff gibt (oder du es nicht zuverlässig ausschliessen kannst):

  • Admin-Passwörter ändern
  • API-Keys/Tokens erneuern
  • Zertifikate und SSO-Secrets prüfen und wenn möglich ersetzen

5) Eindämmung und Härtung

  • Setze EPMM hinter einen Reverse Proxy/WAF, falls nicht bereits vorhanden.
  • Erzwinge MFA für Admin-Logins.
  • Reduziere Admin-Zugriffe auf wenige, namentlich bekannte Konten.
  • Aktiviere detailliertes Logging und stelle sicher, dass Logs zentral gespeichert werden.

# Kommunikations- und Entscheidungslogik (für Nicht-Techniker)

Wenn du Verantwortung trägst, aber nicht alles selbst machst:

  • Frage dein IT-Team: „Ist EPMM internet-exponiert und auf welcher Version?“
  • Frage deinen Security-Lead: „Haben wir eine Überprüfung auf Kompromittierung gemacht und welche Ergebnisse?“
  • Frage dein Management: „Welche Systeme hängen an EPMM (E-Mail, VPN, Zertifikate) und was ist der Business-Impact?“

Entscheidungshilfe: Wenn EPMM exponiert ist und kein Patch eingespielt ist, behandle das als Incident, nicht als normales Update.

# Was du vermeiden solltest

  • Nur patchen und dann abhaken: Bei aktiver Ausnutzung ist die nachträgliche Überprüfung entscheidend.
  • Logging erst im Nachhinein aktivieren: Logs von gestern kann man nicht nachbaün.
  • „Wir sind zu klein“ als Annahme: Automatisierte Scans treffen alle.

# Checkliste (kurz)

Internet-Exponierung reduzieren
Versionsstand ermitteln, Patches einspielen
Überprüfung auf Kompromittierung (Logs, Accounts, Konfig)
Secrets rotieren, wenn Risiko nicht ausschliessbar ist
Härtung: MFA, WAF/Proxy, Admin-Minimierung, zentrales Logging

# Fazit

Bei Ivanti EPMM sind gemeldete Zero-Days mit aktiver Ausnutzung ein Fall für schnelle, saubere Reaktion: Patchen, Überprüfung, Rotation kritischer Geheimnisse und konseqünte Härtung. Je schneller du die Angriffsfläche verkleinerst, desto grösser ist die Chance, dass es beim „Beinahe“ bleibt.