Ivanti EPMM Zero-Days: CVE-2026-1281 und CVE-2026-1340 werden aktiv ausgenutzt

# Worum es geht

Ivanti Endpoint Manager Mobile (EPMM) ist eine zentrale Plattform, um Smartphones und Tablets in Firmen zu verwalten (MDM/UEM). Wenn hier Zero-Days (also unbekannte oder ungepatchte Schwachstellen) aktiv ausgenutzt werden, ist das Risiko typischerweise grösser als bei normalen Bugs: Der Dienst hängt oft direkt am Internet, verwaltet sensible Geräte-Identitäten und hat hohe Rechte.

In diesem Beitrag geht es um die gemeldete aktive Ausnutzung der Ivanti-EPMM-Zero-Days CVE-2026-1281 und CVE-2026-1340 und darum, was du jetzt konkret tun solltest.

# Was bedeutet „exploited in the wild“ für dich?

Wenn eine Schwachstelle „in the wild“ ausgenutzt wird, heisst das:

• Es gibt reale Angriffe, nicht nur Proof-of-Concept-Demos.

• Angreifer automatisieren Scans und Angriffe oft schnell.

• Zeit ist der kritische Faktor: Patchen und Eindämmen haben Priorität.

# Warum EPMM ein attraktives Ziel ist

EPMM sitzt an einer Stelle, wo viel zusammenläuft:

• Geräte-Registrierung und Authentisierung

• Konfigurationsprofile, Zertifikate, Tokens

• Zugriff auf Unternehmensressourcen (z. B. VPN, E-Mail-Profile)

Ein erfolgreicher Angriff kann deshalb im schlimmsten Fall:

• Admin-Zugriffe ermöglichen

• Konfigurationen manipulieren

• Seitliche Bewegung ins interne Netz erleichtern

# Sofortmassnahmen (in sinnvoller Reihenfolge)

1) Exponierung klären: Ist deine EPMM-Instanz erreichbar?

• Prüfe, ob EPMM aus dem Internet erreichbar ist (DNS, Reverse Proxy, Load Balancer).

• Wenn möglich: Zugriff auf bekannte Verwaltungsnetze/VPN einschränken.

2) Versionsstand und Patches prüfen

• Ermittle die exakte EPMM-Version.

• Vergleiche sie mit Ivanti-Security-Advisories und Hotfixes.

• Patch so schnell wie möglich, aber mit kontrolliertem Change (Rollback-Plan).

3) Überprüfung auf Kompromittierung

Auch nach dem Patchen ist eine Überprüfung nötig. Ziele:

• Wurde die Schwachstelle bereits ausgenutzt?

• Gibt es neue Admin-Accounts, API-Tokens oder verdächtige Konfigurationsänderungen?

Konkrete Checks (praktisch, auch ohne tiefes Forensik-Team):

• Admin-Logins: ungewöhnliche Uhrzeiten, neue IPs, fehlgeschlagene Login-Spitzen

• Konfigurationsänderungen: neue SSO-Settings, neue Zertifikate, neue Integrationen

• Systemindikatoren: neue Prozesse, unbekannte Dateien, ungeplante Neustarts

• Netzwerk: ausgehende Verbindungen von EPMM zu unbekannten Zielen

Wenn du ein SIEM hast: Alarmiere auf neue Admin-Rollen, Änderungen an Authentisierung, und auf verdächtige Web-Reqüsts gegen EPMM.

4) Zugangsdaten und Geheimnisse rotieren

Wenn es Hinweise auf einen Angriff gibt (oder du es nicht zuverlässig ausschliessen kannst):

• Admin-Passwörter ändern

• API-Keys/Tokens erneuern

• Zertifikate und SSO-Secrets prüfen und wenn möglich ersetzen

5) Eindämmung und Härtung

• Setze EPMM hinter einen Reverse Proxy/WAF, falls nicht bereits vorhanden.

• Erzwinge MFA für Admin-Logins.

• Reduziere Admin-Zugriffe auf wenige, namentlich bekannte Konten.

• Aktiviere detailliertes Logging und stelle sicher, dass Logs zentral gespeichert werden.

# Kommunikations- und Entscheidungslogik (für Nicht-Techniker)

Wenn du Verantwortung trägst, aber nicht alles selbst machst:

• Frage dein IT-Team: „Ist EPMM internet-exponiert und auf welcher Version?“

• Frage deinen Security-Lead: „Haben wir eine Überprüfung auf Kompromittierung gemacht und welche Ergebnisse?“

• Frage dein Management: „Welche Systeme hängen an EPMM (E-Mail, VPN, Zertifikate) und was ist der Business-Impact?“

Entscheidungshilfe: Wenn EPMM exponiert ist und kein Patch eingespielt ist, behandle das als Incident, nicht als normales Update.

# Was du vermeiden solltest

• Nur patchen und dann abhaken: Bei aktiver Ausnutzung ist die nachträgliche Überprüfung entscheidend.

• Logging erst im Nachhinein aktivieren: Logs von gestern kann man nicht nachbaün.

• „Wir sind zu klein“ als Annahme: Automatisierte Scans treffen alle.

# Checkliste (kurz)

# Fazit

Bei Ivanti EPMM sind gemeldete Zero-Days mit aktiver Ausnutzung ein Fall für schnelle, saubere Reaktion: Patchen, Überprüfung, Rotation kritischer Geheimnisse und konseqünte Härtung. Je schneller du die Angriffsfläche verkleinerst, desto grösser ist die Chance, dass es beim „Beinahe“ bleibt.